chinese hackers lootten via legitieme notepad++ updates
China, dinsdag, 3 februari 2026.
Een populaire softwaretool werd misbruikt door staatsgerelateerde hackers uit china. Jarenlang sluimerte er een bedreiging in de updatefunctie van notepad++. Vanaf juni 2025 werden specifieke gebruikers doorgestuurd naar kwaadaardige servers. De aanval richtte zich op professionals in tech en overheidsdiensten. Slechts een beperkt aantal organisaties werd daadwerkelijk beslopen. De malware gaf aanvallers volledige controle over de getroffen systemen. Het gaat om een klassieke supply chain-aanval, vergelijkbaar met solarwinds. Gebruikers worden dringend aangeraden de nieuwste versie handmatig te installeren en hun systemen te scannen op verdachte activiteit.
hack in de infrastructuur
De aanval op Notepad++ begon met een infiltratie van de hostinginfrastructuur, niet via een fout in de software zelf [1]. Chinese staatsondersteunde hackers hadden toegang tot de server waarop de updatepagina van Notepad++ draaide [4]. Deze toegang duurde van juni 2025 tot december 2025 [2]. De aanvallers gebruikten deze positie om updateverkeer om te leiden naar kwaadaardige servers [3]. Dit type aanval wordt ook wel een man-in-the-middle-aanval genoemd [5].
selectieve doelgroepen
De hackers kozen zorgvuldig welke gebruikers ze zouden bespieden [1]. Vooral professionals in de technologie en overheidssector waren doelwit [6]. Organisaties in de telecommunicatie en financiële dienstverlening in Oost-Azië werden expliciet genoemd als slachtoffers [4]. Volgens onderzoeksorganisatie Rapid7 zijn ten minste drie organisaties daadwerkelijk binnengedrongen [7]. De malware, genaamd Chrysalis, bood volledige toegang tot de besproken systemen [8].
technisch achterhaalde beveiliging
Oudere versies van Notepad++ vertrouwden op onbeveiligde controlemechanismen bij updates [9]. Tot versie 8.8.9 controleerde de WinGUp-updater geen certificaten of digitale handtekeningen [4]. Dat betekende dat iemand met toegang tot het netwerkverkeer een update kon vervangen door een kwaadaardig bestand [10]. De beveiligingsfout werd gefixt in versie 8.8.9, maar gebruikers moesten nog steeds handmatig updaten [11]. Versie 8.9.1 wordt momenteel aanbevolen [12].
vergelijkbaar met solarwinds
De methode lijkt sterk op de bekende SolarWinds-aanval uit 2019-2020 [13]. Toen plaatsten Russische hackers malware in legitieme software-updates [14]. Nu deden Chinese hackers hetzelfde met Notepad++ [15]. Beide gevallen zijn voorbeelden van supply chain-aanvallen [16]. Een klein zwak punt in een veelgebruikte tool kan grote schade veroorzaken [17]. De ontwikkelaar van Notepad++, Don Ho, excuseerde zich publiekelijk bij alle gebruikers [18].
respons en herstel
Na ontdekking is de hostingprovider gewisseld en zijn alle oude wachtwoorden vernieuwd [19]. De nieuwe versie van Notepad++ controleert nu digitaal ondertekende updates [20]. Vanaf eind maart 2026 zal XMLDSig-signering verplicht worden [21]. Gebruikers worden aangeraden versie 8.9.1 of nieuwer handmatig te installeren [22]. Systemen moeten worden gescreend op verdachte processen zoals ‘update.exe’ [23]. Verdere aanvallen via dezelfde route lijken onmogelijk [24].
Bronnen
- techcrunch.com
- thehackernews.com
- notepad-plus-plus.org
- arstechnica.com
- orca.security
- bleepingcomputer.com