Notepad++ opdateringskapning: hvad det seks måneder lange brud lærer om tillid til opdateringsprogrammer

Notepad++ siger, at dens opdateringstrafik blev kapret i flere måneder i 2025, hvor angribere opsnappede og selektivt omdirigerede nogle brugere til ondsindet infrastruktur. BleepingComputer rapporterer, at kompromitteringen begyndte i juni 2025 og sluttede den 2. december, efter at hostingudbyderen opdagede bruddet og afbrød adgangen.

Hændelsen er en nyttig påmindelse om, at "download via HTTPS" ikke er en komplet sikkerhedshistorie. Opdateringssystemer har brug for stærk end-to-end-verifikation – fordi den infrastruktur, du har tillid til, kan være den, der bliver kompromitteret.

Hvad angriberne udnyttede

BleepingComputer beskriver et hul i opdateringsverifikationskontrollerne i ældre Notepad++-versioner, hvilket gør det muligt for angribere at vise manipulerede opdateringsmanifester og omdirigere downloads.

Kampagnen var angiveligt snæver og selektiv, hvilket stemmer overens med en aktør, der bekymrer sig mere om adgang til specifikke mål end massedistribution.

Tidslinjen er vigtig:

Første kompromis i juni 2025
Midlertidig afbrydelse i starten af september efter kerne-/firmwareopdateringer
Fortsat adgang via stjålne interne loginoplysninger indtil 2. december

Det trin, hvor "legitimationsoplysninger overlevede afhjælpningen", er en klassisk incident-response-fejl: det er ikke nok at opdatere serveren, hvis angriberen allerede har nøgler.

Hvad Notepad++ ændrede efter hændelsen

BleepingComputer rapporterer, at Notepad++ migrerede klienter til en ny hostingudbyder, roterede legitimationsoplysninger og forbedrede verifikationen.

Fra og med version 8.8.9, WinGUP:

Verificerer installatørcertifikater og underskrifter
Bruger kryptografisk signeret opdaterings-XML

Projektet planlægger også at håndhæve obligatorisk verifikation af certifikatsignaturer i version 8.9.2.

Den progression – valgfrie kontroller → stærkere kontroller → obligatoriske kontroller – er præcis, hvordan softwaredistribution bør hærde over tid.

Malware-vinklen: Chrysalis og attribution

BleepingComputer refererer til Rapid7-forskning, der tilskriver en relateret kampagne til en kinesisk APT-gruppe kendt som Lotus Blossom (også beskrevet med andre alias) og en brugerdefineret bagdør til Rapid7 ved navn "Chrysalis".

I målrettede hændelser i forsyningskæden er nyttelasten ofte skræddersyet. Derfor er det vigtigste forsvar ikke at "opdage præcis denne malware", men at "gøre det svært at levere uautoriseret nyttelast gennem opdateringsprogrammet".

Hvad organisationer bør gøre anderledes

Hvis du administrerer software i et virksomhedsmiljø, peger denne hændelse på et par defensive standarder:

Undgå automatiske forbrugeropdateringerpå kritiske systemer, hvor det er muligt.
Brug administreret softwaredistribution(signerede pakker i interne reposer, Intune/SCCM osv.).
Fastgør og bekræft underskriftertil installatører og opdateringer.
Overvåg "opdateringsstier"som kritisk infrastruktur: DNS, TLS-inspektionspolitikker, proxyadfærd og endpoint-udførelseskæder.

Hvis du er en individuel bruger, er de praktiske trin enklere:

Opdater til en aktuel Notepad++-version fra den officielle hjemmeside
Vær mistænksom over for opdateringsmeddelelser, der ikke ligner det normale installationsprogram.
Undgå "download nu"-annoncer i søgeresultater, der efterligner officielle sider

Konklusion

Notepad++'s seks måneder lange opdateringskapsel handlede ikke om en enkelt fejl – det handlede om tillidsgrænser. Hvis en angriber kan ændre manifestet, eller signaturkontrollerne er svage, bliver "opdateringer" til fjernkodekørsel per design. Løsningen er end-to-end-verifikation, som du ikke kan omgå, selv når hostingudbyderen bliver ejer.

Kilder

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ opdateringskapning: hvad det seks måneder lange brud lærer om tillid til opdateringsprogrammer

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer rapporterer, at Notepad++-opdateringstrafikken blev kapret i 2025 med selektive omdirigeringer til ondsindede servere og senere tilskrivning til en kinesisk statsforbundet aktør. Her er hvad der fejlede, hvad der blev rettet, og hvordan organisationer kan styrke softwaredistributionen.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft siger, at en Windows-opdateringsfejl kan forhindre nedlukning – hvad der er berørt, og løsningen
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis bliver mere højlydt, og narhvaler bliver mere stille: hvorfor undervandsstøj er vigtig
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ opdateringskapning: hvad det seks måneder lange brud lærer om tillid til opdateringsprogrammer
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	Notepad++ siger, at dens opdateringstrafik blev kapret i flere måneder i 2025, hvor angribere opsnappede og selektivt omdirigerede nogle brugere til ondsindet infrastruktur. BleepingComputer rapporterer, at kompromitteringen begyndte i juni 2025 og sluttede den 2. december, efter at hostingudbyderen opdagede bruddet og afbrød adgangen.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Hændelsen er en nyttig påmindelse om, at "download via HTTPS" ikke er en komplet sikkerhedshistorie. Opdateringssystemer har brug for stærk end-to-end-verifikation – fordi den infrastruktur, du har tillid til, kan være den, der bliver kompromitteret.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	BleepingComputer beskriver et hul i opdateringsverifikationskontrollerne i ældre Notepad++-versioner, hvilket gør det muligt for angribere at vise manipulerede opdateringsmanifester og omdirigere downloads.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	Kampagnen var angiveligt snæver og selektiv, hvilket stemmer overens med en aktør, der bekymrer sig mere om adgang til specifikke mål end massedistribution.
The timeline matters:
Initial compromise in June 2025
Temporary disruption in early September after kernel/firmware updates	Midlertidig afbrydelse i starten af september efter kerne-/firmwareopdateringer
Continued access via stolen internal credentials until December 2	Fortsat adgang via stjålne interne loginoplysninger indtil 2. december
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	Det trin, hvor "legitimationsoplysninger overlevede afhjælpningen", er en klassisk incident-response-fejl: det er ikke nok at opdatere serveren, hvis angriberen allerede har nøgler.
What Notepad++ changed after the incident	Hvad Notepad++ ændrede efter hændelsen
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	BleepingComputer rapporterer, at Notepad++ migrerede klienter til en ny hostingudbyder, roterede legitimationsoplysninger og forbedrede verifikationen.
Starting with version 8.8.9, WinGUP:	Fra og med version 8.8.9, WinGUP:
Verifies installer certificates and signatures	Verificerer installatørcertifikater og underskrifter
Uses cryptographically signed update XML	Bruger kryptografisk signeret opdaterings-XML
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	Projektet planlægger også at håndhæve obligatorisk verifikation af certifikatsignaturer i version 8.9.2.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Den progression – valgfrie kontroller → stærkere kontroller → obligatoriske kontroller – er præcis, hvordan softwaredistribution bør hærde over tid.
The malware angle: Chrysalis and attribution	Malware-vinklen: Chrysalis og attribution
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	BleepingComputer refererer til Rapid7-forskning, der tilskriver en relateret kampagne til en kinesisk APT-gruppe kendt som Lotus Blossom (også beskrevet med andre alias) og en brugerdefineret bagdør til Rapid7 ved navn "Chrysalis".
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	I målrettede hændelser i forsyningskæden er nyttelasten ofte skræddersyet. Derfor er det vigtigste forsvar ikke at "opdage præcis denne malware", men at "gøre det svært at levere uautoriseret nyttelast gennem opdateringsprogrammet".
What organizations should do differently	Hvad organisationer bør gøre anderledes
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Hvis du administrerer software i et virksomhedsmiljø, peger denne hændelse på et par defensive standarder:
Avoid consumer auto-updaters	Undgå automatiske forbrugeropdateringer
on critical systems where possible.	på kritiske systemer, hvor det er muligt.
Use managed software distribution	Brug administreret softwaredistribution
(signed packages in internal repos, Intune/SCCM, etc.).	(signerede pakker i interne reposer, Intune/SCCM osv.).
Pin and verify signatures	Fastgør og bekræft underskrifter
for installers and updates.	til installatører og opdateringer.
Monitor “update paths”
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	som kritisk infrastruktur: DNS, TLS-inspektionspolitikker, proxyadfærd og endpoint-udførelseskæder.
If you’re an individual user, the practical steps are simpler:	Hvis du er en individuel bruger, er de praktiske trin enklere:
Update to a current Notepad++ version from the official site	Opdater til en aktuel Notepad++-version fra den officielle hjemmeside
Be suspicious of update prompts that don’t look like the normal installer	Vær mistænksom over for opdateringsmeddelelser, der ikke ligner det normale installationsprogram.
Avoid “download now” ads in search results that mimic official pages	Undgå "download nu"-annoncer i søgeresultater, der efterligner officielle sider
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Notepad++'s seks måneder lange opdateringskapsel handlede ikke om en enkelt fejl – det handlede om tillidsgrænser. Hvis en angriber kan ændre manifestet, eller signaturkontrollerne er svage, bliver "opdateringer" til fjernkodekørsel per design. Løsningen er end-to-end-verifikation, som du ikke kan omgå, selv når hostingudbyderen bliver ejer.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft siger, at en Windows-opdateringsfejl kan forhindre nedlukning – hvad der er berørt, og løsningen
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis bliver mere højlydt, og narhvaler bliver mere stille: hvorfor undervandsstøj er vigtig
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer rapporterer, at Notepad++-opdateringstrafikken blev kapret i 2025 med selektive omdirigeringer til ondsindede servere og senere tilskrivning til en kinesisk statsforbundet aktør. Her er hvad der fejlede, hvad der blev rettet, og hvordan organisationer kan styrke softwaredistributionen.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Siden blev ikke fundet - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Siden blev ikke fundet - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Denne side ser ikke ud til at eksistere.
It looks like the link pointing here was faulty. Maybe try searching?	Det ser ud til, at linket, der peger her, var forkert. Måske prøv at søge?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Som Amazon Associate tjener vi penge på kvalificerende køb – uden ekstra omkostninger for dig.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...