TL;DR
- Angripare kapade uppdateringstrafik till Notepad++ via serverinfrastruktur
- Attacken riktade sig bara mot vissa användare, inte alla
- Skadliga uppdateringar spreds via manipulerade uppdateringsfiler
- Intrånget pågick från juni till december 2025
- Själva programkoden påverkades inte, utan servermiljön
- Användare bör installera Notepad++ version 8.9.1 manuellt
Vad som hände
Notepad++ publicerade en säkerhetsrapport där teamet beskriver hur säkerhetsexperter upptäckte en kompromettering på infrastrukturell nivå.
Angriparna lyckades fånga upp och omdirigera uppdateringstrafik som egentligen skulle gå till notepad-plus-plus.org.
Utredningen visar att problemet inte uppstod i programmets källkod.
I stället utnyttjade angriparna svagheter hos serverleverantören som hostade webbplatsen och uppdateringstjänsterna. Genom tillgång till den miljön kunde angriparna peka om vissa användare till servrar under egen kontroll.
Vem som påverkades – och hur
Attacken riktade sig inte mot hela användarbasen.
I stället valde angriparna ut vissa mål och serverade manipulerade uppdateringsmanifest som innehöll skadligt innehåll. Utvecklarna anger ingen exakt siffra på hur många användare som drabbades.
Enligt Notepad++ började intrånget i juni 2025.
Servermiljön låg under aktiv attack i omkring fyra månader, fram till den 2 september 2025. Trots åtgärder fortsatte angriparna att använda stulna inloggningsuppgifter till interna tjänster i ytterligare tre månader, fram till den 2 december 2025.
Kan ha koppling till statlig aktör
I rapporten pekar indicier på en kinesisk statsstödd hackergrupp. Notepad++ beskriver attacken som målinriktad och tekniskt avancerad, med fokus på att utnyttja brister i äldre versioners uppdateringskontroller.
Utvecklarna sammanfattar händelsen med att angriparna specifikt riktade in sig på Notepad++-domänen för att dra nytta av otillräcklig verifiering av uppdateringar i äldre versioner av programmet.
Förbättrad säkerhet
Efter incidenten flyttade Notepad++ webbplatsen till en ny hostingleverantör med starkare skydd. Samtidigt uppgraderade teamet själva uppdateringsfunktionen i programmet.
Från version 8.8.9 kontrollerar uppdateraren både certifikat och digital signatur på installationsfilen.
Den versionen släpptes i december 2025 och innehöll redan en notering om attacken. Alla säkerhetsåtgärder var fullt genomförda senast den 2 december 2025, vilket stoppade fortsatt angriparaktivitet.
Vad du bör göra nu
Notepad++ uppmanar alla användare att ladda ner och installera version 8.9.1 manuellt från den officiella webbplatsen. Uppdateringen innehåller de senaste säkerhetsförbättringarna och minskar risken för liknande attacker framöver.
För användare som känner sig osäkra finns även alternativ. Ett exempel är Legacy Notepad, ett öppenkällkodsbaserat och kostnadsfritt textredigeringsprogram som finns tillgängligt på GitHub.
