Barracuda full logo

Der Notepad++-Angriff und neue Risiken in der Lieferkette

Themen:
19. März. 2026
|
Tony Burgess

Wie ein vertrauenswürdiger Update-Kanal zum Bedrohungsvektor wurde und was man dagegen tun kann

Die wichtigsten Erkenntnisse

  • Die Kompromittierung betraf den Mechanismus zur Bereitstellung von Updates, nicht den Anwendungscode von Notepad++.
  • Die Kampagne lief mehrere Monate lang unbemerkt und betraf eine beträchtliche Anzahl von Nutzern.
  • Notepad++ hat nun einen stärkeren Update-Verifizierungsprozess implementiert, der sowohl die Update-Metadaten als auch den Installer selbst überprüft.
  • Jeder Teil einer Software-Bereitstellungspipeline ist ein potenzielles Ziel und sollte entsprechend überwacht werden.
  • Die Einschränkung erlaubter Anwendungen, die Nutzung von Endpunktschutz und die Kontrolle von Update-Kanälen können das Risiko verringern.
  • Fortschrittliche Erkennungs- und Reaktionstools können helfen, abnormale ausgehende Verbindungen und nicht autorisierte Prozesse schnell zu identifizieren und einzudämmen.

Im Februar haben die Entwickler von Notepad++ einen Sicherheitsvorfall bekannt gegeben: Angreifer hatten die Infrastruktur für die Bereitstellung von Updates der Software kompromittiert und einige Nutzer auf ein bösartiges Installationsprogramm umgeleitet. Bei diesem Sicherheitsvorfall wurde weder eine Schwachstelle in Notepad++ selbst ausgenutzt noch wurden Nutzer mit verdächtigen Dateien getäuscht. Stattdessen konzentrierte sich der Angriff auf den Pfad, über den legitime Updates verteilt werden, und verwandelte einen vertrauenswürdigen Prozess in eine Bedrohung.

So funktionierte der Angriff

Die Angreifer haben den Quellcode von Notepad++ nicht manipuliert. Stattdessen haben sie die Infrastruktur kompromittiert, die der Anwendung vorschreibt, wo Updates abgerufen werden sollen. Wenn Nutzer „Nach Updates suchen“ auswählten, kontaktierte Notepad++ seinen Update-Dienst, der dann einen Download-Speicherort für das Installationsprogramm bereitstellte.

Während des Sicherheitsvorfalls, der 2025 mehrere Monate dauerte, konnten Angreifer diese Kommunikation abfangen und die Nutzer auf eine bösartige Datei umleiten. Dieser Installer erschien legitim, enthielt jedoch einen Trojaner. Der Download-Schritt selbst blieb unverändert, aber die Dateiquelle wurde gegen einen von Angreifern kontrollierten Server getauscht.

Auswirkungen auf Nutzer

Bestimmte Nutzer, die während des Angriffszeitraums versucht haben, ein Update durchzuführen, haben eine trojanisierte Version von Notepad++ erhalten. Der bösartige Installer wurde mit einer Spionageoperation in Verbindung gebracht und nicht mit weit verbreiteter Malware oder Ransomware. Das Ziel war der langfristige Zugriff, Datendiebstahl, und laterale Bewegung innerhalb der betroffenen Umgebungen, nicht der unmittelbare finanzielle Gewinn oder eine sichtbare Störung.

Der Angriff war selektiv und richtete sich nur gegen bestimmte Nutzer. Für die Betroffenen – insbesondere in Geschäftsumgebungen – stellte dies jedoch ein erhebliches Risiko dar, da Entwicklerarbeitsplätze häufig Zugriff auf sensible Ressourcen wie Zugangsdaten, Quellcode und administrative Tools haben.

Merkmale von Lieferkettenangriffen

Dieser Vorfall ist ein klares Beispiel für eine Kompromittierung der Lieferkette, eine Form von Cyberangriffen, die wir immer häufiger beobachten. Anstatt die Endbenutzer direkt anzugreifen, zielten die Bedrohungsakteure auf den vorgelagerten Vertriebskanal ab.

Nutzer und IT-Teams vertrauen typischerweise Update-Mechanismen, was sie zu einem effizienten Ziel für Angreifer macht. Da der bösartige Installer über einen Standard-Update-Prozess bereitgestellt wurde, war es unwahrscheinlicher, dass ihn herkömmliche Security-Kontrollen erkennen würden.

Updatesysteme, Code-Sigaturen, Entwicklungspipelines und Cloud-Infrastruktur werden für Cyberkriminelle als Ziele immer attraktiver, da die Kompromittierung eines einzelnen vertrauenswürdigen Punktes den Zugang zu vielen nachgelagerten Zielen ermöglichen kann. Diese Angriffe sind effizient und oft schwer zu erkennen, besonders wenn die gelieferte Software legitim erscheint.

Reaktion und Minderung

Nach Entdeckung des Angriffs verstärkten die Entwickler von Notepad++ ihren Aktualisierungsprozess durch die Einführung eines doppelten Verifizierungsmodells. Sowohl die Metadaten, die das Update beschreiben, als auch der heruntergeladene Installer werden nun überprüft, bevor die Installation fortgesetzt wird. Das reduziert das Risiko zukünftiger, auf Umleitungen basierender Angriffe.

Um das Risiko ähnlicher Lieferkettenrisiken zu minimieren, sollten Unternehmen die Aktualisierung ihrer Lieferinfrastruktur als kritisch einstufen und diese genau überwachen. Weitere Schritte:

  • Verwenden Sie verwaltete Update-Kanäle. In Organisationen sollten Updates über ein Software-Management-Tool geleitet werden, anstatt die Endpunkte selbst vom Internet aus aktualisieren zu lassen.
  • Signaturen und Herkunft prüfen. Verwenden Sie nach Möglichkeit codesignierte Installationsprogramme und ignorieren Sie keine Signaturwarnungen. Bei risikoreichen Endpunkten sollten Installationen nur aus zulässigen Quellen erlaubt werden.
  • Begrenzter Personenkreis für Softwareinstallationen. Standard-Nutzerkonten sollten keine beliebigen Binärdateien installieren können. Prinzipien der geringsten Berechtigung können helfen, Schäden zu begrenzen, wenn ein Updater kompromittiert wird.
  • Auf verdächtiges Verhalten im Zusammenhang mit Updates achten. Neue Persistenzmechanismen, unerwartete untergeordnete Prozesse, die von einem Updater gestartet werden, oder ungewöhnliche ausgehende Verbindungen direkt nach einer Installation sollten Untersuchungen auslösen.
  • Verzeichnis über installierte Software führen. Sie können die Exposition nicht einschätzen, wenn Sie nicht wissen, wo ein Tool eingesetzt wird, insbesondere bei gängigen Dienstprogrammen, die außerhalb des formellen Beschaffungsprozesses zum Einsatz kommen.
  • Notfallplan bereithalten. Stellen Sie sicher, dass Sie Versionen schnell und in großem Umfang deinstallieren oder zurücksetzen können, wenn sich ein Update als Problem herausstellt.
  • Schnelle Erkennung und Reaktion auf Zwischenfälle. Verwenden Sie fortschrittliche Erkennungs- und Reaktionstools wie Barracuda Managed XDR, um verdächtige Netzwerkaktivitäten zu erkennen und effektiv in Echtzeit zu reagieren.

Der Notepad++-Vorfall zeigt, dass selbst vertrauenswürdige Update-Kanäle kompromittiert werden können. Angriffe auf die Lieferkette sind auf dem Vormarsch, und eine wirksame Abwehr erfordert die Überwachung aller Teile der Bereitstellungspipeline, nicht nur des Anwendungscodes. Die Stärkung von Verifizierungsprozessen und die Verwendung moderner Sicherheitstools können dazu beitragen, das Risiko und die Auswirkungen ähnlicher Angriffe in der Zukunft zu reduzieren.

Sehen Sie, wie Barracuda Managed XDR Angriffe stoppt
Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Google-Bericht: Mehr Zero-Day-Schwachstellen, die Unternehmen betreffen
Google-Bericht: Mehr Zero-Day-Schwachstellen, die Unternehmen betreffen
 Sandworm: Russlands globale Infrastruktur-Abrissmannschaft
Sandworm: Russlands globale Infrastruktur-Abrissmannschaft
 Automobiltechnik: Eine riesige neue Cyberangriffsfläche
Automobiltechnik: Eine riesige neue Cyberangriffsfläche
 Malware-Kurzbericht: Wenn die Lieferkette zur Angriffsfläche wird
Malware-Kurzbericht: Wenn die Lieferkette zur Angriffsfläche wird
Den Blog durchsuchen

Bericht über E-Mail-Sicherheitsverletzungen 2025

Wichtige Erkenntnisse über die Erfahrungen mit und Auswirkungen von E-Mail-Sicherheitsverletzungen auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Der MSP Customer Insight Report 2025 

Ein globaler Blick darauf, was Organisationen von ihren Cybersecurity Managed Service Providers benötigen und erwarten.

Zum Report

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.