Notepad++: Update-Kanal gekapert – so prüfst du dein System

Du installierst Notepad++ seit Jahren, klickst auf „Update“, arbeitest weiter – fertig. Genau dieses Vertrauen nutzen Angreifer bei sogenannten Supply-Chain-Angriffen aus: Statt dich direkt anzugreifen, manipulieren sie den Weg, über den Software zu dir kommt. Dann sieht alles wie ein normales Update aus, kann aber im Hintergrund weitere Programme nachladen oder Einstellungen verändern.

Für Notepad++ wurde öffentlich, dass ein Teil der Update-Auslieferung kompromittiert wurde. Offizielle Projektinfos beschreiben, dass Angreifer Update-Anfragen gezielt umleiten konnten, sodass einzelne Systeme bösartige Installer erhielten. Ein unabhängiger technischer Bericht von Rapid7 analysiert außerdem eine in diesem Zusammenhang beobachtete Schadsoftware-Familie namens „Chrysalis“ sowie typische Artefakte und Prozessketten.

Wichtig: Dieser Artikel konzentriert sich auf das, was du konkret prüfen kannst. Du bekommst klare Schritte, die ohne Spezialwissen funktionieren, und Hinweise, ab wann es sinnvoll ist, den PC zu isolieren oder professionelle Hilfe einzubeziehen. Spekulationen über Täter und Motive bleiben bewusst im Hintergrund.

Ein „gekapertes Update“ bedeutet nicht, dass Notepad++ selbst automatisch unsicher ist. Es bedeutet: Der Weg vom Projekt zu deinem PC wurde an einer Stelle manipuliert. Laut der offiziellen Notepad++-Mitteilung geschah das über eine kompromittierte Hosting-Umgebung, die Update-Anfragen beantworten konnte. Dadurch konnten Download-Links (oder die Inhalte, die diese Links steuern) für ausgewählte Ziele auf fremde Server zeigen.

Das Gefährliche daran ist der Vertrauensbruch. Updates haben auf Windows oft hohe Rechte, starten Installer und verändern Programmdaten. Wenn ein Update-Mechanismus etwas aus dem Internet lädt und startet, ist die zentrale Frage: Wird vor dem Ausführen zuverlässig geprüft, ob die Datei wirklich vom Hersteller stammt?

“…there is no validation whatsoever on the downloads. The update file is just downloaded and feed into ShellExecute().”

Dieser Satz stammt aus einer GitHub-Issue zum Updater-Projekt (WinGUp) und beschreibt ein Grundproblem älterer Update-Implementierungen: Wird eine heruntergeladene Datei ohne Signaturprüfung direkt gestartet, kann eine Umleitung oder Manipulation ausreichen. Die genannte Quelle ist von 2023 und damit älter als zwei Jahre, bleibt aber als technisches Prinzip relevant.

Worum es bei der Notepad++-Update-Kaperung praktisch geht

Prüfpunkt	Was es bedeutet	Warum es wichtig ist
Update-Infrastruktur	Update-Anfragen wurden laut Projektinfos gezielt umgeleitet.	Du kannst trotz „normaler“ Oberfläche bei einem fremden Installer landen.
WinGUp (GUP.exe)	Der Updater lädt Installer herunter und startet sie.	Wenn Prüfungen fehlen oder zu lax sind, reicht eine Umleitung als Angriffsweg.
Digitale Signatur (Authenticode)	Windows kann prüfen, ob eine EXE/MSI signiert und unverändert ist.	Eine gültige Signatur ist ein wichtiger Filter gegen manipulierte Dateien.
Gezielte Auswahl	Die Berichte sprechen von selektivem Targeting, nicht zwingend „alle“ Nutzer.	Viele Systeme bleiben unauffällig, obwohl die Infrastruktur angegriffen wurde.
Artefakte am System	Analysen nennen typische Dateinamen/Ordner, z. B. update.exe oder log.dll.	Solche Funde sind kein Beweis, aber ein wichtiger Hinweis für weitere Schritte.

Aus den öffentlich verfügbaren Informationen lassen sich drei robuste Punkte ableiten. Erstens: Notepad++ beschreibt einen Angriff auf die Update-Auslieferung über eine kompromittierte Hosting-Umgebung. Zweitens: Der Zeitraum wird in den Projektinformationen und Zusammenfassungen mit Juni 2025 bis 2025-12-02 eingegrenzt, wobei es rund um 2025-09-02 einen Einschnitt (Wartung/Änderung der Zugriffsbedingungen) gegeben haben soll. Drittens: Die Umleitung soll nicht zwingend alle betreffen, sondern gezielt erfolgt sein.

Wer ist damit plausibel betroffen? Primär Windows-Nutzer, die Notepad++ in diesem Zeitraum über Update-Mechanismen oder Download-Wege bezogen haben, bei denen eine kompromittierte Antwort (z. B. eine umgeleitete Download-URL) eine Rolle spielen konnte. Der technische Kern ist dabei nicht „Notepad++ als Texteditor“, sondern der Updater-Teil, der eine Installationsdatei aus dem Netz holt und startet.

Zu den Gegenmaßnahmen: In den offiziellen Release-Notes zu Notepad++ v8.8.9 wird beschrieben, dass Notepad++ und WinGUp so gehärtet wurden, dass während des Updates die Signatur und das Zertifikat heruntergeladener Installer geprüft werden und das Update bei Fehlschlag abbricht. Zusätzlich wird in den offiziellen Informationen erläutert, dass Update-Manifeste (XML) signiert wurden und strengere Prüfungen vorgesehen sind. Das ist wichtig, weil damit nicht nur „irgendein Download“ akzeptiert wird, sondern die Update-Kette enger kontrolliert werden soll.

Was bleibt unklar? Details zur tatsächlichen Reichweite und zu „Indicators of Compromise“ sind öffentlich nur begrenzt. Notepad++ erklärte, aus eigenen Logs keine stabilen, öffentlich teilbaren Indikatoren ableiten zu können. Rapid7 dokumentiert hingegen technische Artefakte einer beobachteten Schadsoftware-Kette („Chrysalis“) und ordnet Taktiken und Infrastruktur ein. Für dich heißt das: Entscheidend ist, ob auf deinem System Spuren eines manipulierten Installers oder ungewöhnlicher Dateien/Prozesse auftauchen – nicht, welche Schlagzeile in welchem Medium steht.

Die folgenden Schritte sind so aufgebaut, dass du zuerst das Offensichtliche prüfst (Version, Quelle), dann die Integrität (Signatur/Hash) und erst danach nach tieferen Auffälligkeiten suchst. Nimm dir dafür Zeit und arbeite möglichst in Ruhe – das senkt das Risiko, etwas zu übersehen.

1) Version und Update-Mechanismus einordnen
Öffne Notepad++ und notiere die Version (Menü „?“ → „About“). Wenn du in der Zeitspanne 2025 Updates über den integrierten Updater bezogen hast, ist eine genauere Prüfung sinnvoll. Die offiziellen Hinweise betonen, dass ab v8.8.9 Signatur- und Zertifikatsprüfungen im Update-Prozess greifen sollen.

2) Installer-Dateien suchen und sichern (falls vorhanden)
Wenn du noch den Installer hast (z. B. im Downloads-Ordner oder in temporären Ordnern), kopiere die Datei zunächst in einen separaten Ordner, damit sie nicht versehentlich gelöscht oder überschrieben wird. Für eine spätere Analyse ist die Originaldatei hilfreich.

3) Digitale Signatur (Authenticode) prüfen
Eine der schnellsten, belastbaren Prüfungen ist die Windows-Signaturprüfung. Im Rapid7-nahe Berichtsumfeld und in technischen Empfehlungen werden dafür PowerShell und Tools wie Sysinternals genannt. Du kannst zum Beispiel PowerShell nutzen:

Get-AuthenticodeSignature C:\Pfad\zur\Datei.exe | Format-List

Achte dabei vor allem darauf, ob Windows den Status als gültig bewertet (z. B. „Valid“). Ein Ergebnis wie „NotSigned“ oder ein Fehlerstatus ist ein Warnsignal. Wichtig: Eine gültige Signatur ist ein starkes Indiz, aber nicht automatisch ein Freifahrtschein, falls eine Signierkette kompromittiert wäre. In diesem konkreten Fall ist sie dennoch ein zentraler, praktischer Filter.

4) Hash (SHA-256) bilden und vergleichen – falls Referenzwerte verfügbar sind
In der Sicherheits-Community wird empfohlen, Prüfsummen zu vergleichen, falls der Hersteller sie veröffentlicht oder du in deinem Unternehmen eigene Referenzwerte pflegst. Den Hash kannst du so berechnen:

Get-FileHash -Algorithm SHA256 C:\Pfad\zur\Datei.exe | Format-List

Wenn du keinen verlässlichen Referenzwert hast, ist der Hash trotzdem nützlich, um eine Datei eindeutig zu identifizieren (z. B. für Rückfragen bei IT/IR oder für interne Dokumentation).

5) Auf typische Auffälligkeiten prüfen (Dateien, Ordner, Prozesskette)
Rapid7 beschreibt in der „Chrysalis“-Analyse eine Kette, bei der ein Installer (beispielhaft „update.exe“) weitere Dateien ablegt und u. a. Dateinamen wie BluetoothService.exe und log.dll auftauchen können. Suche deshalb (ohne voreilige Schlüsse) nach solchen Dateien in typischen Ablageorten wie Downloads und AppData. Ein Treffer ist nicht automatisch ein Beweis, aber ein Anlass für den nächsten Schritt: isolieren, dokumentieren, professionell prüfen lassen.

6) Logs prüfen, wenn du sie hast (optional, aber hilfreich)
Wenn du in einem Umfeld mit Sysmon, EDR oder zentralem Logging arbeitest: Rapid7 erwähnt Prozessketten wie notepad++.exe → GUP.exe → update.exe im Kontext betroffener Systeme. Solche Ketten sind ein guter Startpunkt für eine zeitliche Rekonstruktion, besonders in Kombination mit Netzwerk-/Proxy-Logs.

7) Wenn du unsicher bist: konservativ handeln
Bei auffälligen Funden (z. B. fehlende Signatur, unbekannter Installer, verdächtige Dateien) ist „erst handeln, dann rätseln“ die bessere Reihenfolge: Trenne den PC vom Netz, sichere relevante Dateien/Logs und hole Unterstützung. Das ist deutlich effektiver, als mehrfach „neu zu installieren“ und dabei Spuren zu verwischen.

Wenn deine Prüfungen ergeben, dass etwas nicht passt (z. B. ein Installer ohne gültige Signatur oder Dateien, die zu den beschriebenen Mustern passen), geht es um zwei Ziele: Schaden begrenzen und Beweise nicht zerstören. Beides ist auch für Privatanwender erreichbar, wenn du strukturiert vorgehst.

1) System isolieren
Trenne das Gerät vom Netzwerk (WLAN aus, Netzwerkkabel ab). Das ist eine einfache Maßnahme, um mögliche Nachlade- oder Kommunikationsversuche zu stoppen. Rapid7 beschreibt C2-Kommunikation über HTTPS zu API-ähnlichen Endpunkten; Isolation verhindert zumindest weitere Netzwerkaktivität.

2) Dokumentieren, bevor du aufräumst
Notiere Uhrzeiten, Dateinamen und Speicherorte. Sichere den verdächtigen Installer und relevante Dateien in einem separaten Ordner. Wenn du Logs hast (Windows-Ereignisanzeige, EDR/Sysmon, Proxy), exportiere sie. In den Berichten wird explizit empfohlen, solche Artefakte früh zu sammeln, weil spätere Schritte (Deinstallation, Cleanup-Tools) Informationen entfernen können.

3) Neuinstallation nur aus verlässlicher Quelle
Wenn du Notepad++ deinstallierst und neu installierst, nutze ausschließlich die offizielle Projektseite und prüfe die Signatur der heruntergeladenen Datei. Als zusätzlicher Sicherheitsgurt werden in Community-Diskussionen auch Betriebssystem-Paketmanager (z. B. winget oder Chocolatey) genannt, weil sie Distribution und Metadaten zentraler verwalten können. Entscheidend ist nicht die Methode an sich, sondern dass Herkunft und Integrität überprüfbar sind.

4) Nachkontrolle statt „alles wird schon“
Supply-Chain-Vorfälle sind tückisch, weil sich schädliche Komponenten im Hintergrund einnisten können. Wenn es konkrete Hinweise auf eine Kompromittierung gibt, reicht eine reine App-Neuinstallation möglicherweise nicht aus. Dann ist ein vollständiger Systemcheck sinnvoll – im Zweifel mit professioneller Unterstützung oder über die IT im Unternehmen.

5) Vorbeugen für die Zukunft
Die wichtigste Lehre aus „Notepad++ Update gehackt“-Szenarien ist Routine statt Bauchgefühl: Lade Software nur von offiziellen Quellen, bevorzuge Update-Wege mit integrierten Prüfungen, und behalte Installer nicht „irgendwo“ liegen, sondern nachvollziehbar. In den Notepad++-Mitteilungen ist die Richtung klar: strengere Signatur- und Zertifikatsprüfungen sowie signierte Update-Manifeste. Das reduziert die Angriffsfläche, ersetzt aber nicht deine Grundhygiene wie regelmäßige Backups und Updates des Betriebssystems.

Ein kompromittierter Update-Kanal ist vor allem deshalb gefährlich, weil er ein gewohntes Verhalten ausnutzt: installieren, weiterarbeiten, vergessen. Bei Notepad++ ist öffentlich dokumentiert, dass Update-Anfragen zeitweise gezielt umgeleitet werden konnten und dadurch einzelne Nutzer potenziell bösartige Installer erhielten. Gleichzeitig wurden Gegenmaßnahmen beschrieben, insbesondere Signatur- und Zertifikatsprüfungen in WinGUp ab Notepad++ v8.8.9 sowie signierte Update-Manifeste.

Für dich zählt jetzt die Praxis: Prüfe, ob du aus dem relevanten Zeitraum Installer oder Update-Spuren hast, verifiziere Signaturen (Authenticode) und dokumentiere Auffälligkeiten. Wenn etwas nicht stimmig ist, ist Isolation und strukturiertes Sammeln von Informationen sinnvoller als hektisches „Wegklicken“. So behältst du die Kontrolle – ohne Alarmismus, aber mit einem klaren Sicherheitsnetz.