Notepad++, een veelgebruikte teksteditor voor Windows, waarschuwde dat de update-infrastructuur maandenlang was gecompromitteerd, waardoor aanvallers bepaalde gebruikers selectief konden doorverwijzen naar schadelijke updates. Ars Technica meldt dat de inbreuk in juni 2025 begon en dat de controle pas in december volledig was hersteld.
Dit is een klassiek voorbeeld van een aanvalsstrategie in de toeleveringsketen: in plaats van elk slachtoffer direct aan te vallen, richten aanvallers zich op het updateproces, waardoor de software zelf het distributiemiddel wordt.
Hoe de aanval eruitzag
Volgens Ars kregen de aanvallers controle over de infrastructuur, waardoor ze updateverkeer bestemd voor het Notepad++-domein konden onderscheppen en omleiden. In plaats van alle gebruikers te treffen, was de omleiding selectief en gericht op specifieke doelwitten.
Die selectiviteit is een belangrijke aanwijzing. Het suggereert dat de aanvallers ofwel een specifieke groep slachtoffers op het oog hadden, ofwel probeerden detectie te voorkomen door het aantal infecties laag te houden.
Waarom updaters zo'n waardevol doelwit zijn
Automatische update-mechanismen zijn ontworpen om drie gevaarlijke dingen te doen:
- Code ophalen van internet
- Schrijf het naar de schijf.
- Voer het uit
Dat is precies wat malware wil. Het enige dat tussen een "update" en een "infectie" staat, is verificatie.
Als het een updater betreft:
- Maakt geen consistent gebruik van sterke TLS.
- Controleert handtekeningen niet correct.
- Vertrouwt op een manipuleerbaar manifestbestand.
…dan kan het onderscheppen of omleiden van verkeer voldoende zijn om de payload te verwisselen.
De details van de Notepad++-updater (en de zwakke punten)
Ars beschrijft een op maat gemaakte updater (GUP / WinGUP) die:
- Rapporteert de versie naar een Notepad++ URL.
- Haalt update-instructies op uit een XML-bestand.
- Downloadt een installatieprogramma naar een tijdelijke map en voert het uit.
Het zwakke punt in veel systemen is de "manifest"-stap. Als het manifest kan worden vervangen of gewijzigd, kan de updater naar elke willekeurige downloadlocatie verwijzen.
Welke versies zouden gebruikers moeten gebruiken?
Het Ars-rapport vermeldt dat ontwikkelaars gebruikers hebben aangeraden ervoor te zorgen dat ze versie 8.9.1 of hoger gebruiken.
Als vuistregel geldt in dit soort gevallen:
- Kies voor handmatige installatie via de officiële website.
- Vermijd downloadlinks van derden en zoekresultaten vol advertenties.
- Beschouw onverwacht getimede updateprompts als verdacht.
Hoe u uw blootstelling kunt inschatten
Er bestaan wellicht geen perfecte indicatoren voor een compromis bij een gerichte campagne, maar je kunt de onzekerheid wel verminderen:
- Controleer of de geïnstalleerde versie correct is.en vergelijk het met de huidige releases.
- Controleer de handtekening van de installateur.voor de Notepad++-binaries die je hebt.
- Controleer de systeemlogboeken.voor ongebruikelijke processtarts rondom updatetijden (installatieprocessen die u niet herkent, netwerkoproepen naar ongebruikelijke domeinen).
- Scannen met EDR/AVdie bekende achterdeuren kan detecteren die door incidentresponders zijn gemeld.
Voor organisaties is het ook redelijk om:
- Voorkom dat updatercomponenten toegang krijgen tot het internet.
- Gebruik gecontroleerde software-implementatie (MSI-verpakking, interne repositories).
Wat dit zegt over open-source afhankelijkheden
Notepad++ is gratis, wordt veel gebruikt en krijgt vaak te weinig financiering in verhouding tot het belang ervan. Deze discrepantie uit zich in een kwetsbare infrastructuur en aangepaste updatesystemen die niet zijn ontworpen voor dreigingsmodellen op nationaal niveau.
De bredere les is niet "gebruik geen open source". De les is dat veelgebruikte open-sourceprojecten het volgende nodig hebben:
- Moderne updateframeworks
- Beveiligingsbeoordelingen
- Financiering voor infrastructuur en incidentbestrijding
Kortom
Als je Notepad++ gebruikt, ga er dan vanuit dat het updatekanaal in 2025 een potentieel aanvalsoppervlak was. Zorg voor een recente versie, geef de voorkeur aan officiële/handmatige installaties en beschouw de integriteit van de updater (handtekeningen en manifesten) als de werkelijke beveiligingsgrens.
Nederlands
English
العربية
Čeština
Dansk
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Español
Svenska
Türkçe