Notepad++: statelijke actoren hadden maandenlang toegang tot webserver
Statelijke actoren hadden maandenlang toegang tot de webserver van Notepad++ en hebben die toegang misbruikt voor het aanvallen van bepaalde gebruikers van de populaire teksteditor. Dat stelt de ontwikkelaar van Notepad++ in een blogposting. In december kwam Notepad++ met een update voor een kwetsbaarheid waardoor aanvallers malafide updates onder gebruikers van de software konden verspreiden. Notepad++ wordt onder andere door programmeurs gebruikt. Verschillende niet nader genoemde organisaties met belangen in Oost-Azië werden slachtoffer van de malafide Notepad++-updates.
Het beveiligingslek waar de aanvallers misbruik van maakten bevindt zich in de manier waarop de updater van Notepad++ de integriteit en authenticiteit van het gedownloade updatebestand controleert. In het geval een aanvaller het netwerkverkeer tussen gebruikers van Notepad++ en de updateservers van Notepad++ kan onderscheppen, is het mogelijk om de updater een malafide bestand te laten downloaden en uitvoeren, in plaats van een legitieme update.
Volgens de ontwikkelaar van Notepad++ hebben beveiligingsonderzoekers onderzoek naar de aanval gedaan en ontdekten dat aanvallers maandenlang toegang tot de webserver hadden waar de editor wordt gehost. Het gaat om een shared hostingserver waar aanvallers van juni tot september toegang toe hadden. Een update van de kernel en firmware zorgde ervoor dat de aanvallers op 2 september de toegang verloren.
Hoewel de aanvallers de toegang op 2 september verloren, beschikten ze nog wel over inloggegevens voor interne services die op de betreffende server draaiden. Daardoor konden de aanvallers verkeer van notepad-plus-plus.org naar hun eigen server redirecten en zo malafide updates onder gebruikers verspreiden. De aanvallers hadden het daarbij specifiek voorzien op Notepad++, andere partijen die van de shared hostingserver gebruikmaakten zijn niet aangevallen.
Hoe de aanvallers toegang tot de server wisten te krijgen is niet bekendgemaakt. De hostingprovider stelt dat het meerdere kwetsbaarheden heeft gepatcht en dat de aanvallers één van deze kwetsbaarheden opnieuw hebben geprobeerd te misbruiken, maar dat deze poging mislukte. Om welk beveiligingslek het gaat wordt niet vermeld. De ontwikkelaar van Notepad++ vermoedt dat de aanvallers dan ook van juni tot en met december toegang hadden.
De ontwikkelaar van Notepad++ stelt verder dat hij vanwege de aanval naar een andere hostingprovider is overgestapt die "sterkere security practies" zou toepassen. Daarnaast zijn er al verschillende maatregelen aan de teksteditor zelf doorgevoerd om de verspreiding van malafide updates tegen te gaan.
Een meer ernstige hack kwam ik vandaag toevallig na een zoektocht tegen toen Chinese hackers in staat waren een infrastructuur-inbraak op netwerkniveau uit te voeren en waarbij dit jarenlang onopgemerkt bleef.
https://www.dutchitchannel.nl/news/723543/chinese-hackers-bespioneerden-jarenlang-adviseurs-britse-premiers
Na een onderzoek door de militaire en civiele afdelingen van onze inlichtingendiensten, bleek de waarschuwing uit de VS voor deze inbraak inderdaad bevestigd te kunnen worden.
https://www.rijksoverheid.nl/actueel/nieuws/2025/08/28/nederlandse-providers-doelwit-van-salt-typhoon
Zo te zien is er op sommige plaatsen inadequate beveiliging doorgevoerd op server en netwerkniveau.
En dat moet heel snel veranderen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?