Oppdateringskapring av Notepad++: hva det seks måneder lange bruddet lærer om tillit til oppdateringsprogrammer

Notepad++ sier at oppdateringstrafikken deres ble kapret i flere måneder i 2025, der angripere avlyttet og selektivt omdirigerte noen brukere til skadelig infrastruktur. BleepingComputer rapporterer at angrepet startet i juni 2025 og sluttet 2. desember, etter at hostingleverandøren oppdaget bruddet og kuttet tilgangen.

Hendelsen er en nyttig påminnelse om at «nedlasting via HTTPS» ikke er en komplett sikkerhetshistorie. Oppdateringssystemer trenger sterk, ende-til-ende-verifisering – fordi infrastrukturen du stoler på kan være den som blir kompromittert.

Hva angriperne utnyttet

BleepingComputer beskriver et hull i kontrollene for oppdateringsverifisering i eldre Notepad++-versjoner, som gjør det mulig for angripere å vise tuklede oppdateringsmanifester og omdirigere nedlastinger.

Kampanjen var angivelig snever og selektiv, i samsvar med en aktør som bryr seg mer om tilgang til spesifikke mål enn massedistribusjon.

Tidslinjen er viktig:

Første kompromiss i juni 2025
Midlertidig avbrudd tidlig i september etter kjerne-/fastvareoppdateringer
Fortsatt tilgang via stjålne interne legitimasjonsopplysninger frem til 2. desember

Det trinnet med at «legitimasjonsinformasjonen overlevde utbedring» er en klassisk feil i hendelsesresponsen: det er ikke nok å oppdatere serveren hvis angriperen allerede har nøkler.

Hva Notepad++ endret seg etter hendelsen

BleepingComputer rapporterer at Notepad++ migrerte klienter til en ny hostingleverandør, roterte påloggingsinformasjon og forbedret verifisering.

Fra og med versjon 8.8.9, WinGUP:

Verifiserer installatørsertifikater og signaturer
Bruker kryptografisk signert oppdaterings-XML

Prosjektet planlegger også å håndheve obligatorisk verifisering av sertifikatsignaturer i versjon 8.9.2.

Den progresjonen – valgfrie kontroller → sterkere kontroller → obligatoriske kontroller – er akkurat hvordan programvaredistribusjon bør herdes over tid.

Skadevarevinkelen: Chrysalis og attribusjon

BleepingComputer refererer til Rapid7-forskning som tilskriver en relatert kampanje til en kinesisk APT-gruppe kjent som Lotus Blossom (også beskrevet med andre alias) og en tilpasset bakdørs-Rapid7 kalt «Chrysalis».

I målrettede hendelser i forsyningskjeden er nyttelasten ofte skreddersydd. Derfor er ikke det viktigste forsvaret å «oppdage akkurat denne skadelige programvaren», men å «gjøre det vanskelig å levere uautorisert nyttelast gjennom oppdateringsprogrammet».

Hva organisasjoner bør gjøre annerledes

Hvis du administrerer programvare i et bedriftsmiljø, peker denne hendelsen på noen defensive standardfeil:

Unngå automatiske forbrukeroppdateringerpå kritiske systemer der det er mulig.
Bruk administrert programvaredistribusjon(signerte pakker i interne repositorier, Intune/SCCM osv.).
Fest og bekreft signaturerfor installatører og oppdateringer.
Overvåk «oppdateringsstier»som kritisk infrastruktur: DNS, TLS-inspeksjonspolicyer, proxy-oppførsel og endepunktsutførelseskjeder.

Hvis du er en individuell bruker, er de praktiske trinnene enklere:

Oppdater til en nåværende Notepad++-versjon fra det offisielle nettstedet
Vær mistenksom overfor oppdateringsmeldinger som ikke ser ut som det vanlige installasjonsprogrammet.
Unngå «last ned nå»-annonser i søkeresultater som etterligner offisielle sider

Konklusjon

Notepad++s seks måneder lange oppdateringskaping handlet ikke om en enkelt feil – det handlet om tillitsgrenser. Hvis en angriper kan endre manifestet eller signaturkontrollene er svake, blir «oppdateringer» ekstern kodekjøring per design. Løsningen er ende-til-ende-verifisering du ikke kan omgå, selv når hostingleverandøren blir eier.

Kilder

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Oppdateringskapring av Notepad++: hva det seks måneder lange bruddet lærer om tillit til oppdateringsprogrammer

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer rapporterer at Notepad++-oppdateringstrafikk ble kapret i 2025, med selektive omdirigeringer til ondsinnede servere og senere tilskrivelse til en kinesisk statsrelatert aktør. Her er hva som feilet, hva som ble fikset, og hvordan organisasjoner kan styrke programvaredistribusjonen.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft sier at en Windows-oppdateringsfeil kan forhindre nedstengning – hva som er berørt og løsningen
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis blir høyere og narhvaler blir stillere: hvorfor undervannsstøy er viktig
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Oppdateringskapring av Notepad++: hva det seks måneder lange bruddet lærer om tillit til oppdateringsprogrammer
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	Notepad++ sier at oppdateringstrafikken deres ble kapret i flere måneder i 2025, der angripere avlyttet og selektivt omdirigerte noen brukere til skadelig infrastruktur. BleepingComputer rapporterer at angrepet startet i juni 2025 og sluttet 2. desember, etter at hostingleverandøren oppdaget bruddet og kuttet tilgangen.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Hendelsen er en nyttig påminnelse om at «nedlasting via HTTPS» ikke er en komplett sikkerhetshistorie. Oppdateringssystemer trenger sterk, ende-til-ende-verifisering – fordi infrastrukturen du stoler på kan være den som blir kompromittert.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	BleepingComputer beskriver et hull i kontrollene for oppdateringsverifisering i eldre Notepad++-versjoner, som gjør det mulig for angripere å vise tuklede oppdateringsmanifester og omdirigere nedlastinger.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	Kampanjen var angivelig snever og selektiv, i samsvar med en aktør som bryr seg mer om tilgang til spesifikke mål enn massedistribusjon.
The timeline matters:
Initial compromise in June 2025
Temporary disruption in early September after kernel/firmware updates	Midlertidig avbrudd tidlig i september etter kjerne-/fastvareoppdateringer
Continued access via stolen internal credentials until December 2	Fortsatt tilgang via stjålne interne legitimasjonsopplysninger frem til 2. desember
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	Det trinnet med at «legitimasjonsinformasjonen overlevde utbedring» er en klassisk feil i hendelsesresponsen: det er ikke nok å oppdatere serveren hvis angriperen allerede har nøkler.
What Notepad++ changed after the incident	Hva Notepad++ endret seg etter hendelsen
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	BleepingComputer rapporterer at Notepad++ migrerte klienter til en ny hostingleverandør, roterte påloggingsinformasjon og forbedret verifisering.
Starting with version 8.8.9, WinGUP:	Fra og med versjon 8.8.9, WinGUP:
Verifies installer certificates and signatures	Verifiserer installatørsertifikater og signaturer
Uses cryptographically signed update XML	Bruker kryptografisk signert oppdaterings-XML
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	Prosjektet planlegger også å håndheve obligatorisk verifisering av sertifikatsignaturer i versjon 8.9.2.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Den progresjonen – valgfrie kontroller → sterkere kontroller → obligatoriske kontroller – er akkurat hvordan programvaredistribusjon bør herdes over tid.
The malware angle: Chrysalis and attribution	Skadevarevinkelen: Chrysalis og attribusjon
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	BleepingComputer refererer til Rapid7-forskning som tilskriver en relatert kampanje til en kinesisk APT-gruppe kjent som Lotus Blossom (også beskrevet med andre alias) og en tilpasset bakdørs-Rapid7 kalt «Chrysalis».
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	I målrettede hendelser i forsyningskjeden er nyttelasten ofte skreddersydd. Derfor er ikke det viktigste forsvaret å «oppdage akkurat denne skadelige programvaren», men å «gjøre det vanskelig å levere uautorisert nyttelast gjennom oppdateringsprogrammet».
What organizations should do differently	Hva organisasjoner bør gjøre annerledes
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Hvis du administrerer programvare i et bedriftsmiljø, peker denne hendelsen på noen defensive standardfeil:
Avoid consumer auto-updaters	Unngå automatiske forbrukeroppdateringer
on critical systems where possible.	på kritiske systemer der det er mulig.
Use managed software distribution	Bruk administrert programvaredistribusjon
(signed packages in internal repos, Intune/SCCM, etc.).	(signerte pakker i interne repositorier, Intune/SCCM osv.).
Pin and verify signatures
for installers and updates.	for installatører og oppdateringer.
Monitor “update paths”
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	som kritisk infrastruktur: DNS, TLS-inspeksjonspolicyer, proxy-oppførsel og endepunktsutførelseskjeder.
If you’re an individual user, the practical steps are simpler:	Hvis du er en individuell bruker, er de praktiske trinnene enklere:
Update to a current Notepad++ version from the official site	Oppdater til en nåværende Notepad++-versjon fra det offisielle nettstedet
Be suspicious of update prompts that don’t look like the normal installer	Vær mistenksom overfor oppdateringsmeldinger som ikke ser ut som det vanlige installasjonsprogrammet.
Avoid “download now” ads in search results that mimic official pages	Unngå «last ned nå»-annonser i søkeresultater som etterligner offisielle sider
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Notepad++s seks måneder lange oppdateringskaping handlet ikke om en enkelt feil – det handlet om tillitsgrenser. Hvis en angriper kan endre manifestet eller signaturkontrollene er svake, blir «oppdateringer» ekstern kodekjøring per design. Løsningen er ende-til-ende-verifisering du ikke kan omgå, selv når hostingleverandøren blir eier.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft sier at en Windows-oppdateringsfeil kan forhindre nedstengning – hva som er berørt og løsningen
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis blir høyere og narhvaler blir stillere: hvorfor undervannsstøy er viktig
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer rapporterer at Notepad++-oppdateringstrafikk ble kapret i 2025, med selektive omdirigeringer til ondsinnede servere og senere tilskrivelse til en kinesisk statsrelatert aktør. Her er hva som feilet, hva som ble fikset, og hvordan organisasjoner kan styrke programvaredistribusjonen.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Siden ble ikke funnet - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Siden ble ikke funnet - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Denne siden ser ikke ut til å eksistere.
It looks like the link pointing here was faulty. Maybe try searching?	Det ser ut som om lenken som pekte hit var feil. Kanskje du kan prøve å søke?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Som Amazon-partner tjener vi penger på kvalifiserte kjøp – uten ekstra kostnad for deg.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...