Notepad++ komprometterat – här är vad som hände och hur du skyddar din dator

• Notepad++s webbhotellskonto kaprades mellan juni och december 2025.
• Angripare omdirigerade uppdateringstrafik för användare av den inbyggda uppdateraren till skadliga servrar.
• Endast användare som uppdaterade via den inbyggda uppdateringsfunktionen var i riskzonen. Manuella nedladdningar från officiella källor var säkra.
• Appbinärfiler komprometterades inte. Attacken utnyttjade svaga kontroller för uppdateringsverifiering.
• Utvecklare bytte till en säker värd, roterade inloggningsuppgifter och förbättrade verifieringen av WinGup-uppdateringen.

Notepad++, ett allmänt använt alternativ till Windows 11 :s inbyggda Notepad-app, har bekräftat att dess webbhotellleverantörs konto komprometterades av skadliga aktörer mellan juni och december 2025. Intrånget gjorde det möjligt för angripare att omdirigera vissa användare till skadliga servrar via komprometterade uppdateringsmanifest.

Enligt det officiella avslöjandet identifierade säkerhetsexperter ett intrång på infrastrukturnivå hos Notepad++s tidigare webbhotellsleverantör. Angriparna utnyttjade systemet för att fånga upp uppdateringstrafik avsedd för notepad-plus-plus.org , och riktade sig mot en delmängd av användare med skadliga uppdateringsfiler. Analytiker menar att attackens riktade natur pekar på ett spionage snarare än en omfattande skadlig kampanj.

De illvilliga personerna behöll initialt åtkomst till värdservrarna fram till den 2 september 2025. Även efter att ha förlorat direktåtkomst behöll de interna tjänsteuppgifter fram till den 2 december 2025, vilket möjliggjorde fortsatt avlyssning av uppdateringstrafik. Angreppet utnyttjade kända sårbarheter i äldre Notepad++-versioner, inklusive otillräckliga kontroller för uppdateringsverifiering.

Vem drabbades?

Endast användare som uppdaterade Notepad++ via den inbyggda uppdateraren mellan juni och december 2025 var i riskzonen. Användare som laddade ner installationsprogram manuellt från den officiella webbplatsen eller GitHub-versioner påverkades dock inte .

Säkerhetsanalytiker bekräftar att det inte finns några bevis för massstyrning eller utbredd systemexploatering. Attacken verkar vara mycket riktad, troligen mot specifika organisationer eller individer.

Åtgärder och säkerhetsförbättringar

Enligt appens utvecklare har Notepad++ bytt till en ny, säkrare webbhotellleverantör för att förhindra framtida intrång på infrastrukturnivå.

Interna inloggningsuppgifter hos den tidigare leverantören har roterats, vilket säkerställer att all kvarvarande åtkomst från angriparna har återkallats.

Appens uppdaterare, WinGup, förbättrades i version 8.8.9 för att verifiera både certifikatet och installationsprogrammets signatur, vilket stärker säkerheten för nedladdningar av uppdateringar.

Anteckningsappen förväntas också få version 8.9.2 under de kommande veckorna, vilket kommer att tillämpa strikt XMLDSig-certifikat- och signaturverifiering för alla uppdateringar, vilket ytterligare skyddar användare från manipulerings- eller omdirigeringsattacker.

Vad ska användarna göra?

Notepad++-teamet uppmanar alla användare att manuellt uppdatera till version 8.9.1 eller senare och återställa inloggningsuppgifterna för alla tjänster som är kopplade till den tidigare webbhotellsmiljön, inklusive SSH-, FTP- och MySQL-databaser.

Det är också en bra idé att köra en fullständig antivirusskanning om du uppdaterade med den inbyggda uppdateringen under den drabbade perioden.

Denna incident tjänar som en påminnelse om riskerna med attacker i leveranskedjan och behovet av att verifiera äktheten hos programvarukällor och nedladdningar. Även betrodda utvecklarkonton kan kapas, vilket belyser vikten av robust webbhotellssäkerhet och rigorös uppdateringsverifiering.