Kapning av Notepad++-uppdatering: vad sexmånadersintrånget lär oss om förtroende för uppdateringsprogrammet

Notepad++ uppger att dess uppdateringstrafik kapades i månader under 2025, där angripare avlyssnade och selektivt omdirigerade vissa användare till skadlig infrastruktur. BleepingComputer rapporterar att intrånget började i juni 2025 och slutade den 2 december, efter att webbhotellleverantören upptäckte intrånget och avbröt åtkomsten.

Händelsen är en bra påminnelse om att "nedladdning via HTTPS" inte är en komplett säkerhetshistoria. Uppdateringssystem behöver stark verifiering från början till slut – eftersom den infrastruktur du litar på kan vara den som komprometteras.

Vad angriparna utnyttjade

BleepingComputer beskriver en lucka i uppdateringsverifieringskontrollerna i äldre Notepad++-versioner, vilket gör det möjligt för angripare att visa manipulerade uppdateringsmanifest och omdirigera nedladdningar.

Kampanjen var enligt uppgift snäv och selektiv, vilket överensstämmer med en aktör som bryr sig mer om tillgång till specifika mål än massdistribution.

Tidslinjen spelar roll:

Inledande kompromiss i juni 2025
Tillfällig störning i början av september efter kärn-/firmwareuppdateringar
Fortsatt åtkomst via stulna interna inloggningsuppgifter fram till den 2 december

Det där steget med att "autentiseringsuppgifterna överlevde åtgärden" är ett klassiskt incidentresponsfel: det räcker inte att uppdatera servern om angriparen redan har nycklar.

Vad Notepad++ ändrade efter händelsen

BleepingComputer rapporterar att Notepad++ migrerade klienter till en ny webbhotellsleverantör, roterade inloggningsuppgifter och förbättrade verifieringen.

Från och med version 8.8.9, WinGUP:

Verifierar installatörscertifikat och signaturer
Använder kryptografiskt signerad uppdaterings-XML

Projektet planerar också att införa obligatorisk verifiering av certifikatsignaturer i version 8.9.2.

Den utvecklingen – valfria kontroller → starkare kontroller → obligatoriska kontroller – är precis hur programvarudistribution bör hårdna över tid.

Skadlig kodvinkel: Chrysalis och attribution

BleepingComputer refererar till Rapid7-forskning som tillskriver en relaterad kampanj till en kinesisk APT-grupp känd som Lotus Blossom (även beskriven med andra alias) och en anpassad bakdörrs-Rapid7 med namnet "Chrysalis".

Vid riktade incidenter i leveranskedjan är nyttolasten ofta skräddarsydd. Därför är det viktigaste försvaret inte att "upptäcka exakt denna skadliga kod", utan att "göra det svårt att leverera obehörig nyttolast via uppdateraren".

Vad organisationer borde göra annorlunda

Om du hanterar programvara i en företagsmiljö pekar den här incidenten på några defensiva standardvärden:

Undvik automatiska konsumentuppdateringarpå kritiska system där det är möjligt.
Använd hanterad programvarudistribution(signerade paket i interna repositorier, Intune/SCCM, etc.).
Fäst och verifiera signaturerför installatörer och uppdateringar.
Övervaka "uppdateringsvägar"som kritisk infrastruktur: DNS, TLS-inspektionspolicyer, proxybeteende och slutpunktskörningskedjor.

Om du är en enskild användare är de praktiska stegen enklare:

Uppdatera till en aktuell Notepad++-version från den officiella webbplatsen
Var misstänksam mot uppdateringsmeddelanden som inte ser ut som det vanliga installationsprogrammet
Undvik annonser som "ladda ner nu" i sökresultat som imiterar officiella sidor

Slutsats

Notepad++s sex månader långa uppdateringskapning handlade inte om en enda bugg – den handlade om förtroendegränser. Om en angripare kan ändra manifestet eller om signaturkontrollerna är svaga, blir "uppdateringar" fjärrkodkörning per definition. Lösningen är en end-to-end-verifiering som du inte kan kringgå, inte ens när webbhotellleverantören blir ägd.

Källor

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Kapning av Notepad++-uppdatering: vad sexmånadersintrånget lär oss om förtroende för uppdateringsprogrammet

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer rapporterar att Notepad++-uppdateringstrafik kapades 2025, med selektiva omdirigeringar till skadliga servrar och senare tillskrivning till en kinesisk statskopplad aktör. Här är vad som misslyckades, vad som åtgärdades och hur organisationer kan stärka programvarudistributionen.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft säger att en Windows-uppdateringsbugg kan förhindra avstängning – vad som påverkas och lösningen
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis blir högre och narvalar blir tystare: varför undervattensbuller är viktigt
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Kapning av Notepad++-uppdatering: vad sexmånadersintrånget lär oss om förtroende för uppdateringsprogrammet
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	Notepad++ uppger att dess uppdateringstrafik kapades i månader under 2025, där angripare avlyssnade och selektivt omdirigerade vissa användare till skadlig infrastruktur. BleepingComputer rapporterar att intrånget började i juni 2025 och slutade den 2 december, efter att webbhotellleverantören upptäckte intrånget och avbröt åtkomsten.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Händelsen är en bra påminnelse om att "nedladdning via HTTPS" inte är en komplett säkerhetshistoria. Uppdateringssystem behöver stark verifiering från början till slut – eftersom den infrastruktur du litar på kan vara den som komprometteras.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	BleepingComputer beskriver en lucka i uppdateringsverifieringskontrollerna i äldre Notepad++-versioner, vilket gör det möjligt för angripare att visa manipulerade uppdateringsmanifest och omdirigera nedladdningar.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	Kampanjen var enligt uppgift snäv och selektiv, vilket överensstämmer med en aktör som bryr sig mer om tillgång till specifika mål än massdistribution.
The timeline matters:
Initial compromise in June 2025	Inledande kompromiss i juni 2025
Temporary disruption in early September after kernel/firmware updates	Tillfällig störning i början av september efter kärn-/firmwareuppdateringar
Continued access via stolen internal credentials until December 2	Fortsatt åtkomst via stulna interna inloggningsuppgifter fram till den 2 december
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	Det där steget med att "autentiseringsuppgifterna överlevde åtgärden" är ett klassiskt incidentresponsfel: det räcker inte att uppdatera servern om angriparen redan har nycklar.
What Notepad++ changed after the incident	Vad Notepad++ ändrade efter händelsen
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	BleepingComputer rapporterar att Notepad++ migrerade klienter till en ny webbhotellsleverantör, roterade inloggningsuppgifter och förbättrade verifieringen.
Starting with version 8.8.9, WinGUP:	Från och med version 8.8.9, WinGUP:
Verifies installer certificates and signatures	Verifierar installatörscertifikat och signaturer
Uses cryptographically signed update XML	Använder kryptografiskt signerad uppdaterings-XML
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	Projektet planerar också att införa obligatorisk verifiering av certifikatsignaturer i version 8.9.2.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Den utvecklingen – valfria kontroller → starkare kontroller → obligatoriska kontroller – är precis hur programvarudistribution bör hårdna över tid.
The malware angle: Chrysalis and attribution	Skadlig kodvinkel: Chrysalis och attribution
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	BleepingComputer refererar till Rapid7-forskning som tillskriver en relaterad kampanj till en kinesisk APT-grupp känd som Lotus Blossom (även beskriven med andra alias) och en anpassad bakdörrs-Rapid7 med namnet "Chrysalis".
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	Vid riktade incidenter i leveranskedjan är nyttolasten ofta skräddarsydd. Därför är det viktigaste försvaret inte att "upptäcka exakt denna skadliga kod", utan att "göra det svårt att leverera obehörig nyttolast via uppdateraren".
What organizations should do differently	Vad organisationer borde göra annorlunda
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Om du hanterar programvara i en företagsmiljö pekar den här incidenten på några defensiva standardvärden:
Avoid consumer auto-updaters	Undvik automatiska konsumentuppdateringar
on critical systems where possible.	på kritiska system där det är möjligt.
Use managed software distribution	Använd hanterad programvarudistribution
(signed packages in internal repos, Intune/SCCM, etc.).	(signerade paket i interna repositorier, Intune/SCCM, etc.).
Pin and verify signatures
for installers and updates.	för installatörer och uppdateringar.
Monitor “update paths”
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	som kritisk infrastruktur: DNS, TLS-inspektionspolicyer, proxybeteende och slutpunktskörningskedjor.
If you’re an individual user, the practical steps are simpler:	Om du är en enskild användare är de praktiska stegen enklare:
Update to a current Notepad++ version from the official site	Uppdatera till en aktuell Notepad++-version från den officiella webbplatsen
Be suspicious of update prompts that don’t look like the normal installer	Var misstänksam mot uppdateringsmeddelanden som inte ser ut som det vanliga installationsprogrammet
Avoid “download now” ads in search results that mimic official pages	Undvik annonser som "ladda ner nu" i sökresultat som imiterar officiella sidor
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Notepad++s sex månader långa uppdateringskapning handlade inte om en enda bugg – den handlade om förtroendegränser. Om en angripare kan ändra manifestet eller om signaturkontrollerna är svaga, blir "uppdateringar" fjärrkodkörning per definition. Lösningen är en end-to-end-verifiering som du inte kan kringgå, inte ens när webbhotellleverantören blir ägd.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft säger att en Windows-uppdateringsbugg kan förhindra avstängning – vad som påverkas och lösningen
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis blir högre och narvalar blir tystare: varför undervattensbuller är viktigt
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer rapporterar att Notepad++-uppdateringstrafik kapades 2025, med selektiva omdirigeringar till skadliga servrar och senare tillskrivning till en kinesisk statskopplad aktör. Här är vad som misslyckades, vad som åtgärdades och hur organisationer kan stärka programvarudistributionen.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Sidan hittades inte - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Sidan hittades inte - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Den här sidan verkar inte finnas.
It looks like the link pointing here was faulty. Maybe try searching?	Det verkar som att länken som pekade hit var felaktig. Kanske prova att söka?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Som Amazon Associate tjänar vi pengar på kvalificerade köp – utan extra kostnad för dig.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...