Notepad++-Updater verteilte Malware – Update dringend nötig

Version 8.8.9 schließt Sicherheitslücke im Update-Mechanismus

---

13.12.2025  Captain  0 Likes  0 Kommentare 

---

---

Der beliebte Open-Source-Editor Notepad++ ist ins Visier von Cyberangreifern geraten. Über den integrierten Updater wurde in mehreren Fällen Malware auf Windows-PCs installiert. Verantwortlich dafür war manipulierte Netzwerkkommunikation, die den Update-Prozess kompromittierte. Mit Version 8.8.9 hat der Entwickler nun reagiert und wichtige Sicherheitsmaßnahmen nachgeschärft.

Manipulierter Update-Traffic als Einfallstor
Untersuchungen von Sicherheitsexperten zeigen, dass der Notepad++-Updater WinGUp zeitweise auf bösartige Server umgeleitet wurde. Angreifer konnten dadurch manipulierte Installationsdateien ausliefern, die beim Update automatisch ausgeführt wurden. Besonders betroffen waren offenbar Organisationen mit Verbindungen nach Südasien, was auf gezielte Angriffe hindeutet.

Technisch basiert das Problem auf der Art, wie der Updater seine Download-URL bezieht. Eine XML-Datei liefert dem Tool den Pfad zur neuen Version, die anschließend heruntergeladen und direkt gestartet wird. Wird dieser Datenverkehr abgefangen oder verändert, lässt sich der Prozess missbrauchen – ein klassisches Szenario für Traffic-Hijacking.

Zertifikate spielten eine zentrale Rolle
Bis einschließlich Version 8.8.7 setzte Notepad++ auf ein selbst signiertes Zertifikat. Das erleichterte es Angreifern, manipulierte Updates als scheinbar legitime Installer unterzuschieben. Zwar erschien unter Windows eine Warnung über einen unbekannten Herausgeber, doch viele Nutzer klickten diese offenbar weg.

Seit Version 8.8.7 verwendet Notepad++ ein offizielles GlobalSign-Zertifikat. Dadurch sollten gefälschte Updates deutlich leichter erkennbar sein. Genau hier setzt auch die neue Absicherung an: Die aktuelle Version überprüft Zertifikate und Signaturen nun konsequent, bevor ein Update ausgeführt wird.

Was Version 8.8.8 und 8.8.9 verbessern
Mit Version 8.8.8 wurde die Update-Quelle fest auf GitHub umgestellt, um Manipulationen zu erschweren. Die noch wichtigere Neuerung steckt jedoch in Version 8.8.9: Der Updater bricht den Vorgang ab, sobald eine Signaturprüfung fehlschlägt. So soll verhindert werden, dass kompromittierte Installer überhaupt gestartet werden.

Der Entwickler Don Ho betont, dass die Untersuchungen zum Ursprung der Angriffe noch laufen. Klar ist aber schon jetzt: Der Update-Mechanismus wurde deutlich gehärtet und entspricht nun moderneren Sicherheitsstandards.

Woran Du mögliche Infektionen erkennst
Sicherheitsforscher raten dazu, bestehende Installationen aufmerksam zu prüfen. Verdächtig sind unter anderem ungewöhnliche Netzwerkverbindungen des Updaters oder fremde Dateien im Temp-Verzeichnis. Typische Hinweise auf eine Kompromittierung sind:

• Verbindungen von gup.exe zu anderen Domains als notepad-plus-plus.org oder github.com
• Updater startet unbekannte Prozesse statt explorer.exe oder npp-Installer
• Dateien wie update.exe oder AutoUpdater.exe im Temp-Ordner

Wenn Dir solche Auffälligkeiten begegnen, solltest Du Dein System genauer prüfen und Notepad++ neu installieren.

Update aktuell nur manuell verfügbar
Ein weiteres Problem: Der integrierte Updater erkennt die neue Version 8.8.9 derzeit noch nicht automatisch. Auch über winget wird das Update aktuell nicht angeboten. Du musst die aktuelle Fassung daher manuell von der offiziellen Notepad++-Webseite herunterladen und installieren.

Da Notepad++ aufgrund seiner großen Verbreitung immer wieder Ziel von Angriffen ist, empfiehlt sich ein besonders vorsichtiger Umgang mit Downloads und Updates. In diesem Fall gilt klar: Je schneller Du aktualisierst, desto besser bist Du geschützt.

Dieser Artikel kann Affiliate-Links enthalten, die mit gekennzeichnet sind. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Für dich ändert sich dadurch nichts, auch nicht am Preis, aber du unterstützt damit dieses Projekt. Deswegen bereits im Voraus: Danke.