Notepad++: statelijke actoren hadden maandenlang toegang tot webserver

maandag, 2 februari 2026 (09:52) - Security.NL

In dit artikel:

De ontwikkelaar van Notepad++ meldt dat geavanceerde, mogelijk statelijke aanvallers maandenlang toegang hadden tot de gedeelde webserver waarop notepad-plus-plus.org draait en die toegang hebben misbruikt om kwaadaardige updates te verspreiden naar geselecteerde gebruikers. Het lek werd in december gepatcht; toen verscheen een update die het probleem in de updater verhelpt dat aanvallers in staat stelde gemanipuleerde updatebestanden te laten downloaden en uitvoeren.

Volgens de maker draaide het misbruik op het mechanisme waarmee de updater de integriteit en authenticiteit van gedownloade updates controleert; bij onderschept verkeer (man-in-the-middle) kon de updater een malafide bestand binnenhalen. Beveiligingsonderzoekers vonden dat kwaadwillenden van juni tot september toegang hadden tot de shared hostingserver. Een kernel- en firmware-update op 2 september beëindigde die directe toegang, maar de aanvallers bleken nog inloggegevens te bezitten voor interne services, waarmee zij verkeer vanaf notepad-plus-plus.org naar hun eigen server konden omleiden en zo schadelijke updates blijven verspreiden.

De aanval was gericht op Notepad++-gebruikers; andere partijen op diezelfde hostingserver werden niet aangevallen. Getroffen waren meerdere niet nader genoemde organisaties met belangen in Oost-Azië. Hoe de aanvallers aanvankelijk binnenkwamen is niet openbaar gemaakt; de hostingprovider zegt meerdere kwetsbaarheden te hebben dichtgeplakt en dat een herhaalde uitprobeerslag mislukte. De ontwikkelaar vermoedt dat misbruik zich tot december heeft uitgestrekt.

Als reactie is Notepad++ verhuisd naar een andere hostingprovider met strengere beveiligingsmaatregelen en zijn er aanpassingen in de editor doorgevoerd om verdere verspreiding van malafide updates te bemoeilijken. De zaak is een voorbeeld van een leveringsketenaanval op populaire software die veel door programmeurs wordt gebruikt, en onderstreept het belang van sterke update-verificatie en hostingbeveiliging.