De kaping van Notepad++-updates: wat de zes maanden durende inbreuk ons ​​leert over het vertrouwen in updaters.

Notepad++ meldt dat het updateverkeer in 2025 maandenlang werd gekaapt, waarbij aanvallers sommige gebruikers onderschepten en selectief omleidden naar kwaadaardige infrastructuur. BleepingComputer meldt dat de inbreuk begon in juni 2025 en eindigde op 2 december, nadat de hostingprovider de inbreuk had ontdekt en de toegang had geblokkeerd.

Het incident is een nuttige herinnering dat "downloaden via HTTPS" geen volledig beveiligingsverhaal is. Updatesystemen vereisen sterke, end-to-end verificatie, omdat de infrastructuur die je vertrouwt, juist het onderdeel kan zijn dat gecompromitteerd wordt.

Wat de aanvallers hebben uitgebuit

BleepingComputer beschrijft een tekortkoming in de verificatie van updates in oudere versies van Notepad++, waardoor aanvallers gemanipuleerde updatemanifesten kunnen verspreiden en downloads kunnen omleiden.

De campagne was naar verluidt gericht en selectief, wat consistent is met een actor die meer waarde hecht aan toegang tot specifieke doelgroepen dan aan massadistributie.

De timing is belangrijk:

• Eerste compromis in juni 2025
• Tijdelijke storing begin september na kernel-/firmware-updates
• Toegang via gestolen interne inloggegevens bleef mogelijk tot 2 december.

Die stap "de inloggegevens hebben de herstelprocedure overleefd" is een klassieke fout in de incidentrespons: het patchen van de server is niet voldoende als de aanvaller de sleutels al in handen heeft.

Wat Notepad++ veranderde na het incident

BleepingComputer meldt dat Notepad++ klanten heeft gemigreerd naar een nieuwe hostingprovider, inloggegevens heeft vernieuwd en de verificatie heeft verbeterd.

Vanaf versie 8.8.9 ondersteunt WinGUP:

• Controleert de certificaten en handtekeningen van de installateurs.
• Maakt gebruik van cryptografisch ondertekende update-XML.

Het project is tevens van plan om in versie 8.9.2 verplichte verificatie van certificaatondertekeningen in te voeren.

Die progressie – optionele controles → strengere controles → verplichte controles – is precies hoe softwaredistributie in de loop der tijd veiliger zou moeten worden.

Het malware-aspect: Chrysalis en toeschrijving

BleepingComputer verwijst naar onderzoek van Rapid7 waarin een verwante campagne wordt toegeschreven aan een Chinese APT-groep genaamd Lotus Blossom (ook bekend onder andere aliassen) en een aangepaste backdoor van Rapid7 genaamd "Chrysalis".

Bij gerichte aanvallen op de toeleveringsketen is de malware vaak op maat gemaakt. Daarom is de belangrijkste verdediging niet "deze specifieke malware detecteren", maar "het moeilijk maken om ongeautoriseerde malware via de updater te verspreiden".

Wat organisaties anders zouden moeten doen

Als u software beheert in een bedrijfsomgeving, wijst dit incident op een aantal standaard beveiligingsmaatregelen:

1. Vermijd automatische updates voor consumenten.op kritieke systemen waar mogelijk.
2. Gebruik beheerde softwaredistributie.(ondertekende pakketten in interne repositories, Intune/SCCM, enz.).
3. Handtekeningen vastzetten en verifiërenvoor installatieprogramma's en updates.
4. Monitor "updatepaden"Als kritieke infrastructuur: DNS, TLS-inspectiebeleid, proxygedrag en uitvoeringsketens van eindpunten.

Als individuele gebruiker zijn de praktische stappen eenvoudiger:

• Update naar een recente versie van Notepad++ via de officiële website.
• Wees wantrouwig ten opzichte van updateprompts die er niet uitzien als de normale installatieprompt.
• Vermijd 'download nu'-advertenties in zoekresultaten die officiële pagina's nabootsen.

Kortom

De zes maanden durende hack van Notepad++-updates ging niet over één enkele bug, maar over vertrouwensgrenzen. Als een aanvaller het manifest kan wijzigen of als de handtekeningcontroles zwak zijn, worden "updates" in feite een manier om code op afstand uit te voeren. De oplossing is end-to-end verificatie die niet te omzeilen is, zelfs niet als de hostingprovider wordt gehackt.

---

Bronnen

• https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/
• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/