Notepad++ kompromitteret – her er hvad der skete, og hvordan du beskytter din pc

• Notepad++'s hostingudbyderkonto blev kapret mellem juni og december 2025.
• Angribere omdirigerede opdateringstrafik for brugere af den indbyggede opdateringsprogram til ondsindede servere.
• Kun brugere, der opdaterede via den indbyggede opdatering, var i fare. Manuelle downloads fra officielle kilder var sikre.
• App-binære filer blev ikke kompromitteret. Angrebet udnyttede svage kontroller til bekræftelse af opdateringer.
• Udviklere skiftede til en sikker vært, roterede legitimationsoplysninger og forbedrede WinGup-opdateringsverifikation.

Notepad++, et udbredt alternativ til Windows 11 's native Notepad-app, har bekræftet, at deres hostingudbyders konto blev kompromitteret af ondsindede aktører mellem juni og december 2025. Overtrædelsen gjorde det muligt for angribere at omdirigere nogle brugere til ondsindede servere via kompromitterede opdateringsmanifester.

Ifølge den officielle afsløring identificerede sikkerhedseksperter en kompromitteret infrastruktur hos Notepad++'s tidligere hostingudbyder. Angriberne udnyttede systemet til at opfange opdateringstrafik beregnet til notepad-plus-plus.org , hvor de var målrettet mod en delmængde af brugere med ondsindede opdateringsfiler. Analytikere antyder, at angrebets målrettede karakter peger på en spionageindsats snarere end en omfattende malwarekampagne.

De ondsindede personer bevarede i første omgang adgang til hostingserverne indtil 2. september 2025. Selv efter at have mistet den direkte adgang, bevarede de interne serviceoplysninger indtil 2. december 2025, hvilket muliggjorde fortsat aflytning af opdateringstrafik. Angrebet udnyttede kendte sårbarheder i ældre Notepad++-versioner, herunder utilstrækkelige kontroller til verifikation af opdateringer.

Hvem blev berørt?

Kun brugere, der opdaterede Notepad++ via den indbyggede opdatering mellem juni og december 2025, var i fare. Brugere, der downloadede installationsprogrammer manuelt fra den officielle hjemmeside eller GitHub-udgivelser, blev dog ikke påvirket .

Sikkerhedsanalytikere bekræfter, at der ikke er tegn på massekommando og -kontrol eller udbredt systemudnyttelse. Angrebet synes meget målrettet, sandsynligvis mod specifikke organisationer eller enkeltpersoner.

Afhjælpning og sikkerhedsforbedringer

Ifølge appens udvikler er Notepad++ skiftet til en ny, mere sikker hostingudbyder for at forhindre fremtidige kompromitteringer på infrastrukturniveau.

Interne legitimationsoplysninger hos den tidligere udbyder er blevet roteret, hvilket sikrer, at enhver langvarig adgang fra angriberne er blevet tilbagekaldt.

Appens opdateringsprogram, WinGup, blev forbedret i version 8.8.9 for at verificere både certifikatet og installationsprogrammets signatur, hvilket styrker sikkerheden ved download af opdateringer.

Notattagningsappen forventes også at modtage version 8.9.2 i de kommende uger, hvilket vil håndhæve streng XMLDSig-certifikat- og signaturverifikation for alle opdateringer, hvilket yderligere beskytter brugerne mod manipulations- eller omdirigeringsangreb.

Hvad skal brugerne gøre?

Notepad++-teamet opfordrer alle brugere til manuelt at opdatere til version 8.9.1 eller nyere og nulstille legitimationsoplysninger for alle tjenester, der er knyttet til det tidligere hostingmiljø, herunder SSH-, FTP- og MySQL-databaser.

Det er også en god idé at køre en fuld antivirusscanning, hvis du har opdateret ved hjælp af den indbyggede opdatering i den berørte periode.

Denne hændelse tjener som en påmindelse om risikoen ved angreb i forsyningskæden og behovet for at verificere ægtheden af ​​softwarekilder og downloads. Selv betroede udviklerkonti kan blive kapret, hvilket understreger vigtigheden af ​​robust hostingsikkerhed og grundig opdateringsverifikation.