Notepad++: statelijke actoren hadden maandenlang toegang tot webserver
Statelijke actoren hadden maandenlang toegang tot de webserver van Notepad++ en hebben die toegang misbruikt voor het aanvallen van bepaalde gebruikers van de populaire teksteditor. Dat stelt de ontwikkelaar van Notepad++ in een blogposting. In december kwam Notepad++ met een update voor een kwetsbaarheid waardoor aanvallers malafide updates onder gebruikers van de software konden verspreiden. Notepad++ wordt onder andere door programmeurs gebruikt. Verschillende niet nader genoemde organisaties met belangen in Oost-Azië werden slachtoffer van de malafide Notepad++-updates.
Het beveiligingslek waar de aanvallers misbruik van maakten bevindt zich in de manier waarop de updater van Notepad++ de integriteit en authenticiteit van het gedownloade updatebestand controleert. In het geval een aanvaller het netwerkverkeer tussen gebruikers van Notepad++ en de updateservers van Notepad++ kan onderscheppen, is het mogelijk om de updater een malafide bestand te laten downloaden en uitvoeren, in plaats van een legitieme update.
Volgens de ontwikkelaar van Notepad++ hebben beveiligingsonderzoekers onderzoek naar de aanval gedaan en ontdekten dat aanvallers maandenlang toegang tot de webserver hadden waar de editor wordt gehost. Het gaat om een shared hostingserver waar aanvallers van juni tot september toegang toe hadden. Een update van de kernel en firmware zorgde ervoor dat de aanvallers op 2 september de toegang verloren.
Hoewel de aanvallers de toegang op 2 september verloren, beschikten ze nog wel over inloggegevens voor interne services die op de betreffende server draaiden. Daardoor konden de aanvallers verkeer van notepad-plus-plus.org naar hun eigen server redirecten en zo malafide updates onder gebruikers verspreiden. De aanvallers hadden het daarbij specifiek voorzien op Notepad++, andere partijen die van de shared hostingserver gebruikmaakten zijn niet aangevallen.
Hoe de aanvallers toegang tot de server wisten te krijgen is niet bekendgemaakt. De hostingprovider stelt dat het meerdere kwetsbaarheden heeft gepatcht en dat de aanvallers één van deze kwetsbaarheden opnieuw hebben geprobeerd te misbruiken, maar dat deze poging mislukte. Om welk beveiligingslek het gaat wordt niet vermeld. De ontwikkelaar van Notepad++ vermoedt dat de aanvallers dan ook van juni tot en met december toegang hadden.
De ontwikkelaar van Notepad++ stelt verder dat hij vanwege de aanval naar een andere hostingprovider is overgestapt die "sterkere security practies" zou toepassen. Daarnaast zijn er al verschillende maatregelen aan de teksteditor zelf doorgevoerd om de verspreiding van malafide updates tegen te gaan.
Een meer ernstige hack kwam ik vandaag toevallig na een zoektocht tegen toen Chinese hackers in staat waren een infrastructuur-inbraak op netwerkniveau uit te voeren en waarbij dit jarenlang onopgemerkt bleef.
https://www.dutchitchannel.nl/news/723543/chinese-hackers-bespioneerden-jarenlang-adviseurs-britse-premiers
Na een onderzoek door de militaire en civiele afdelingen van onze inlichtingendiensten, bleek de waarschuwing uit de VS voor deze inbraak inderdaad bevestigd te kunnen worden.
https://www.rijksoverheid.nl/actueel/nieuws/2025/08/28/nederlandse-providers-doelwit-van-salt-typhoon
Zo te zien is er op sommige plaatsen inadequate beveiliging doorgevoerd op server en netwerkniveau.
En dat moet heel snel veranderen.
Dat zeker.
(en met de natte vinger gok ik dat dit weer eens een showcase is dat alleen maar eenn behoorlijk OS/kernel van de webserver niet voldoende zijn om die hack-proof te hebben .)
Wat wel ernstig(er) is dat blijkbaar de integriteit van de updates dus _alleen maar_ gebaseerd was op het downloaden vanaf de juiste update server.
Moet wel , want het compromitter van de (extern beheerde) update server kon malicious updates introduceren.
Er is dus geen geauthenticeerd pad tussen ontwikkelaar en applicatie - in de zin van signatures die alleen de ontwikkelaar kan zetten en bij update gecontroleerd worden .
In Linux distro land zitten er signatures bij de packages en checked de updater die. Zolang de admin die niet negeert/overruled is dat robuust ook tegen een malicous mirror server.
Dat is (meen ik) hetzelfde bij (eigen) Microsoft updates , en (denk ik) ook bij externe software die via Microsoft app store gedistribueerd wordt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?