Ein harmloses Update – und plötzlich kursiert Malware auf dem System: Eine kürzlich entdeckte Schwachstelle im Updater von Notepad++ wirft nicht nur Fragen zur konkreten Sicherheitslücke auf, sondern stellt grundsätzliche Überlegungen zur Integrität von Open-Source-Software in den Fokus. Wie sicher sind unsere Tools im Alltag wirklich? Ein Blick hinter die Kulissen.
Ein Trojaner im Update: Was bei Notepad++ passiert ist
Notepad++, ein seit Jahren beliebter quelloffener Texteditor für Windows, wurde Ende 2025 zur Zielscheibe eines gezielten Angriffs: Über eine manipulierte Version des Update-Mechanismus gelang es Angreifern, Malware über das automatische Update-System der Anwendung auf Nutzerrechner einzuschleusen. Sicherheitsforscher des französischen Unternehmens CERT-FR veröffentlichten am 10. Dezember 2025 eine Warnmeldung, die detaillierte Hinweise auf den kompromittierten Updater enthielt. Die manipulierte Datei installierte einen Remote Access Trojan (RAT), der es Angreifern ermöglichte, vollständige Kontrolle über infizierte Systeme zu erlangen.
Die entsprechende Update-Datei wurde offenbar über ein kompromittiertes Mirror-System verteilt und verwendete ein legitimes Zertifikat, das ursprünglich von einer vertrauenswürdigen Quelle stammte – diese war allerdings im Vorfeld durch einen Supply-Chain-Angriff kompromittiert worden. Laut VirusTotal wiesen mehrere Antivirenanbieter die Datei mittlerweile als riskant aus.
Vertrauensproblem bei Software-Updates: Keine Einzelfälle
Solche Supply-Chain-Angriffe sind kein neues Phänomen. Der wohl bekannteste Fall der letzten Jahre war der SolarWinds-Vorfall 2020, bei dem staatlich unterstützte Hacker Software-Updates einer IT-Überwachungslösung kompromittierten. Auch das populäre JavaScript-Paket ua-parser-js war 2021 betroffen. Gemeinsam ist diesen Fällen: Die Angreifer zielen nicht auf das Endprodukt, sondern auf die Verteilungskette.
Markus Neis, Senior Threat Intelligence Analyst bei Recorded Future, warnt: „Software-Updates sind das perfekte Tor für Angreifer – sie haben Vertrauensvorschuss, benötigen keine Phishing-Nachricht und laufen automatisiert.“
Statistiken bestätigen die wachsende Relevanz solcher Angriffe: Laut dem „State of the Software Supply Chain“-Bericht 2024 von Sonatype wurden allein im Jahr 2023 über 245 Millionen Downloads von Open-Source-Komponenten mit kritischen Sicherheitslücken registriert. Das entspricht einem Anstieg von über 750 % im Vergleich zu 2020.
Auch eine Analyse von Crowdstrike zeigt: Supply-Chain-Angriffe stiegen 2024 um 39 % im Vergleich zum Vorjahr, wobei insbesondere Open-Source-Software im Fokus stand.
Open-Source: Vorteile mit Sicherheitsrisiken
Die privilegierte Stellung von Open-Source-Software in der Entwickler-Community beruht auf vielen Vorteilen: Quellcode-Einsehbarkeit, Community-getriebene Verbesserungen und schneller Bugfixing-Zyklus. Aber gerade diese Offenheit bringt auch Risiken mit sich. Viele Projekte, darunter auch Notepad++, werden nicht von Unternehmen, sondern Einzelpersonen oder kleinen Teams gepflegt. Das macht es schwer, kontinuierliche Sicherheitsprüfungen und vollständige Code-Audits durchzuführen.
Security-Forscherin Dr. Laura Schmitt von der TH Köln bringt es auf den Punkt: „Open Source ist nicht per se unsicher – aber die mangelnden Ressourcen zur Sicherstellung der Integrität in der gesamten Kette sind ein strukturelles Problem.“
Ein weiteres technisches Problem liegt im Fehlen eines verifizierten, kryptographischen Signaturprozesses in älteren Systemen. Zwar signieren viele Open-Source-Projekte ihre Distributionspakete heute mit GPG- oder X.509-Zertifikaten, doch Nutzer verfügen oft nicht über entsprechende Prüfmechanismen oder ignorieren Warnungen.
Was Nutzerinnen und Nutzer tun können: Handlungsempfehlungen
Der Fall von Notepad++ ist ein Weckruf – nicht nur für Entwickler, sondern auch für Anwender. Wer selbst quelloffene oder proprietäre Programme nutzt, sollte folgende Sicherheitsmaßnahmen beherzigen:
- Updates bewusst prüfen: Automatische Updater sollten deaktiviert oder durch manuelle Update-Prozesse mit Authentizitätsprüfung ersetzt werden. Achten Sie auf digitale Signaturen und Plausibilitätsprüfungen.
- Code-Integrität verifizieren: Nutzen Sie Tools wie SigCheck oder Gpg4win, um die Integrität von Downloads zu prüfen. Viele Open-Source-Projekte stellen Hash-Werte bereit – vergleichen Sie diese vor der Installation.
- Whitelist für Updater & Tools: Nutzen Sie Sicherheitslösungen, die legitime Programme von potenziell gefährlichen unterscheiden können, und konfigurieren Sie diese entsprechend. Insbesondere EDR-Systeme bieten hier Schutz.
Was Entwickler lernen müssen: Schutz beginnt vor dem Release
Auch die Projektverantwortlichen stehen in der Pflicht. GitHub, GitLab und Co. bieten schon heute Lösungen für sogenannte SigStore-Integrationen, mit denen Pakete automatisch signiert werden können. Genauso wichtig ist es, Updater unabhängig vom Hauptcode zu halten und deren Code regelmäßig zu auditieren. Die Einrichtung eines Bug-Bounty-Programms oder Code-Reviews durch Dritte sind ebenfalls effektive Methoden zur Risikoabsicherung.
Viele Projekte haben aus vergangenen Vorfällen gelernt: So verwendet Mozilla seit 2022 ein vierstufiges Signaturverfahren für ihre Firefox-Updater und prüft manuell jeden Build via „build reproducibility“. Vergleichbare Verfahren könnten auch für andere populäre Tools adaptiert werden.
Regulatorischer Rahmen: Reaktion der Behörden
Auch die EU hat die Risikolage erkannt: Die im Juli 2025 verabschiedete Cyber Resilience Act (CRA) verpflichtet Softwarehersteller – inklusive Open-Source-Projekte mit kommerzieller Nutzung – zu Mindeststandards in puncto Sicherheit und Update-Transparenz. Dazu gehört auch die Pflicht zur Offenlegung von Sicherheitsvorfällen innerhalb von 24 Stunden.
Allerdings ist der Act nicht unumstritten: Kritiker befürchten, dass kleine Open-Source-Projekte durch die Regulatorik überfordert werden. Die Free Software Foundation Europe (FSFE) fordert deshalb eine differenzierte Anwendung, die kommerzielle Akteure stärker in die Pflicht nimmt.
Fazit: Vertrauen ist gut, Kontrolle ist Pflicht
Die Notepad++-Attacke ist mehr als ein isolierter Vorfall: Sie ist symptomatisch für eine zunehmend anspruchsvolle Bedrohungslage, die nicht nur Konzerne, sondern jeden Anwender betrifft. Auch Open-Source-Software ist kein sicherer Hafen per se – ihre Integrität steht und fällt mit der Stärke ihrer Prozesse und der Wachsamkeit ihrer Community.
Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess. Wer Convenience über Kontrolle stellt, öffnet der Malware Tür und Tor – insbesondere, wenn die Angreifer bereits im Updater sitzen.
Diskutieren Sie mit: Wie gehen Sie in Ihrer Organisation mit Update-Sicherheit um? Welche Tools und Prozesse haben sich bei Ihnen bewährt? Schreiben Sie uns in den Kommentaren oder tauschen Sie sich in unserer IT-Security-Community aus.
