Notepad++ onthult: 'Hackaanval was gerichte kaping door Chinese staatshackers'

Notepad++ onthult dat de hack van eind 2025 waarbij kwaadaardige updates gericht werden verspreid waarschijnlijk het werk was van Chinese staatshackers. Dit blijkt uit een analyse van externe security-experts. Het onderzoek naar de compromittering van de app loopt nog.

Notepad++ meldde op 9 december vorig jaar dat de tekstbewerkingsapp het doelwit was van een hackaanval. Het bracht toen versie 8.8.9 uit die een fix bracht voor de misbruikte kwetsbaarheid. Het dataverkeer voor de updater van Notepad++ bleek soms te worden omgeleid naar kwaadaardige servers, die vervolgens kwaadaardige code aanboden aan sommige gebruikers.

Nu onthult Notepad++ meer over deze aanval op infrastructuurniveau, waardoor kwaadwillenden updateverkeer voor notepad-plus-plus.org konden onderscheppen en omleiden. De manier waarop dit technisch werd gedaan, wordt nog verder onderzocht, maar volgens Notepad++ is nu wel duidelijk dat de hack plaatsvond bij de hostingprovider. De code van de app zelf was dus niet kwetsbaar of gecompromitteerd.

Doelgerichte hostinghack

Het updateverkeer van enkele specifieke gebruikers van Notepad++ is selectief omgeleid naar een server van de aanvallers, die daar kwaadaardige updatecode ter download doorgaven aan hun doelwitten. Deze aanvalscampagne begon in juni 2025 en liep tot zeker 10 november, maar mogelijk tot 2 december, meldt Notepad++ nu.

Op 2 september was er gepland onderhoud van de gedeelde hostingserver, waarbij de kernel en firmware werden bijgewerkt. Het lijkt erop dat die updates de toegang van de aanvallers afkapten. Zij hadden echter tot 2 december nog inloggegevens voor interne systemen waarmee ze updateverkeer konden omleiden. Op 10 november staakten de aanvallers hun actieve hackpogingen.

Volgens de makers van die app oordelen 'meerdere onafhankelijke securityonderzoekers' dat de aanvaller waarschijnlijk een hackersgroep is met Chinese staatssteun. Dit zou volgens Notepad++ de zeer gerichte targeting van de aanval verklaren. Dat betrof naast specifieke gebruikers van Notepad++ ook de app zelf, want de aanvallers richtten zich volgens de analyse door securityexperts niet op andere hostingklanten die de gehackte server gebruikten. Notepad++ gebruikt nu een andere hostingprovider.

Notepad++
Notepad++

Door Jasper Bakker

Nieuwsredacteur

Feedback • 02-02-2026 08:32
53 • submitter: pven

02-02-2026 • 08:32

53

Submitter: pven

Lees meer

Microsoft geeft testversies Paint, Notepad en Knipprogramma meer AI-functies
Microsoft geeft testversies Paint, Notepad en Knipprogramma meer AI-functies Nieuws van 24 mei 2025
Microsoft gaat AI-samenvattingen toevoegen aan Notepad in Windows 11
Microsoft gaat AI-samenvattingen toevoegen aan Notepad in Windows 11 Nieuws van 14 maart 2025
Microsoft kondigt het einde van WordPad aan
Microsoft kondigt het einde van WordPad aan Nieuws van 2 september 2023
Ontwikkelaars halen Notepad++ weg bij SourceForge
Ontwikkelaars halen Notepad++ weg bij SourceForge Nieuws van 15 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer Software development Websites en community's Politiek en recht Privacy China Cybercrime Hack Hackers Hosting Infrastructuur Notepad Update

Reacties (53)

-Moderatie-faq
53
50
28
4
0
15
Wijzig sortering

Sorteer op:

Weergave:
RichieB 2 februari 2026 09:12
De eerste vraag die bij me opkwam was: zijn die updates niet gesigned met een certificaat? En zo ja, hoe kon de aanvaller dat signature namaken? Het antwoord is: de updates waren toen de aanval plaatsvond al een paar maanden niet meer gesigned. Er werd zelfs aangeraden waarschuwingen van antivirus hierover te negeren.

Gelukkig is dit ondertussen opgelost:

Within Notepad++ itself, WinGup (the updater) was enhanced in v8.8.9 to verify both the certificate and the signature of the downloaded installer. Additionally, the XML returned by the update server is now singed (XMLDSig), and the certificate & signature verification will be enforced starting with upcoming v8.9.2, expected in about one month.

[Reactie gewijzigd door RichieB op 2 februari 2026 09:14]

Reageer
kimborntobewild @RichieB2 februari 2026 11:02
Was het Notepad++ zelf die aanraadde de waarschuwing van de AV te negeren?
Reageer
gixslayer @kimborntobewild2 februari 2026 11:36
Zie release notes voor de context. Ze hadden een certificate, maar die was expired en konden ze niet hernieuwen.

Helaas blijft code signing een lastig verhaal voor open source / individuele ontwikkelaars, en komt het er vaak op neer dat je een bak geld naar een CA moet pompen, of zoals in dit geval ze je een certificate gunnen (totdat ze het dus opeens niet meer doen).
Reageer
William_H @gixslayer2 februari 2026 11:46
Ik vraag mij af hoe dit dan zit met updates die je laat lopen via een Chocolatey of een WinGet. Gaven die dan ook aan dat de update niet gesigned waren / gecompromiteerd? Of checkt die echt alleen de hash en als die overeenkomt installeert hij hem. Het lijkt uit het artikel er namelijk op dat de updater van Notepad++ gecompromiteerd is. Dus als je die niet gebruikte was je veilig?
Reageer
fuzzyIon @gixslayer2 februari 2026 12:02
hoezo? iedereen kan toch een gpg key aanmaken en publiceren?
Reageer
Syzzer 2 februari 2026 09:09
De manier waarop dit technisch werd gedaan, wordt nog verder onderzocht, maar volgens Notepad++ is nu wel duidelijk dat de hack plaatsvond bij de hostingprovider.

[...]

Notepad++ gebruikt nu een andere hostingprovider.
Maar, de beveiliging van updates zou toch niet moeten rusten op je hosting provider? Daar heb je code signing voor, zodat je end-to-end je updates kunt authenticeren. Distribueert Notepad++ ongetekende code? Of hebben ze die signing keys bij hun hosting partij gestald?

Het lijkt me dat ze ook eens kritisch moeten kijken of ze wel afhankelijk willen zijn van een hosting provider voor de integriteit van hun updates.
Reageer
Stroopwafels 2 februari 2026 09:32
Ben ik de enige die het opvallend vindt dat Notepad++ gebruik maakte van shared hosting? Bij shared omgevingen deel je risico’s met andere partijen, en zonder goede isolatie en security-maatregelen kan dat een zwakke schakel worden... zeker voor update-infrastructuur.
Reageer
Aardedraadje 2 februari 2026 08:37
Wat ik mij afvraag; hoe weten de hackers welk verkeer ze willen omleiden? Ze kennen hun targets dus dusdanig goed dat ze aan het verkeer kunnen afleiden dat dit van hun targets afkomstig is. Hoe weten de hackers dit? Is er bekend wie de targets waren?
Reageer
YouryDW @Aardedraadje2 februari 2026 08:44
Ik ga ervan uit dat ze weten op welke hardware en (ongepatched) OS dat de applicatie zal draaien om dan een gerichte payload te sturen naar die client om deze dan te onboarden in een botnet
Reageer
Floris4970 @Aardedraadje2 februari 2026 08:45
Als je de IP range weet van de organisatie die je probeert binnen te dringen? lijkt me niet mega lastig
Reageer
meowmofo @Aardedraadje2 februari 2026 08:46
Als het staat gesponsord is dan zal de informatie simpelweg van een internet tap afkomstig zijn.
Reageer
Schurkzor @Aardedraadje2 februari 2026 10:37
Verkeer routeren op basis van het publieke bron IP of IP prefix. Organisaties zoals IANA en hun continentale partners houden bij welke ip blokken bij welk land/bedrijf horen.
Reageer
Znorkus 2 februari 2026 08:47
Creepy hoor, zo'n groep ('staat') achter je aan hebben die over alle grenzen gaat, letterlijk en figuurlijk, om je te volgen en in de gaten te houden. Ben blij dat we in een land leven waar zoiets in de regel alleen gebeurt als er duidelijke verdenkingen zijn.
Reageer
Revres @Znorkus2 februari 2026 08:57
Ik ben ook van mening dat wij dit hier beter op orde hebben, beter hebben ingericht en ons beter houden aan wetgeving en verdragen. Tegelijkertijd geloof ik dat er in Nederland door bepaalde instanties informatievoorziening plaatsvindt die niet in lijn is met de afspraken die wij kennen. En waar ik misschien zelf ook niet eens heel erg op tegen ben. Details zullen we toch nooit te weten komen.
Reageer
Alfa1970 @Revres2 februari 2026 09:13
Nederland heeft ook staatshackers hoor.
En nog hele goeie ook.
Er is tenminste één boek over geschreven, maar wellicht meer, ik heb er echter maar 1 van gelezen.
Reageer
Heaget @Alfa19702 februari 2026 09:15
Wil je de titel van het boek delen?
Reageer
Jeldert @Heaget2 februari 2026 09:22
Bekijk de boeken van Huib Modderkolk eens.
Reageer
Heaget @Jeldert2 februari 2026 09:27
Goeie tip! Ik heb "Het is oorlog maar niemand die het ziet" al gelezen!
Reageer
William_H @Heaget2 februari 2026 11:48
Beluister ook eens de podcast "De Schaduwoorlog", die door Huib Modderkolk en Beatrice de Graaf is gemaakt. Hele informatieve en betrouwbare podcast over wat er zich in de schaduwen van oa het internet afspeelt.
Reageer
david-v @IamGrimm2 februari 2026 10:19
Het is wel een echte persoon, Onderzoeksjournalist bij de Volkskrant.
Reageer
IamGrimm @david-v2 februari 2026 10:47
Ja nee dat begrijp ik wel. Ik wil niet beweren dat hij niet bestaat, gewoon dat de naam grappig klinkt.
Reageer
Schurkzor @Heaget2 februari 2026 09:23
"Unhacked" van spion en hacker Rian van Rijbroek :+

[Reactie gewijzigd door Schurkzor op 2 februari 2026 09:23]

Reageer
bvdbos @Schurkzor2 februari 2026 09:36
Ik ben nog steeds aan het wachten op de film:
equationunequal in "Cybercharlatan Rijbroek en het Sanderink bedrijvenimperium"
Reageer
djwice @bvdbos2 februari 2026 09:47
Je kunt de trailer nu alvast maken:
https://huggingface.co/Lightricks/LTX-2

Twee maanden flink doorwerken op een RTX 6000 Pro Blackwell en de film is af.
Reageer
Heaget @Schurkzor2 februari 2026 09:28
Dankjewel! Die kan erbij op de lijst/stapel van boeken die ik nog moet lezen.
Reageer
Klaus_1250 @Heaget2 februari 2026 09:35
@Heaget Boeken van charlatan Rian van Rijbroek zijn niet om te lezen, is meer niveau "papier om de haard mee aan te steken".
Reageer
Heaget @Klaus_12502 februari 2026 09:47
Ah, sarcasme.. Dat had ik even niet opgepikt
Reageer
curkey @Klaus_12502 februari 2026 11:38
Bij mijn tweedehands versie zijn vrijwel alle bladzijden voorzien van een mysterieuze bruine streep
Reageer
avlt @Heaget2 februari 2026 10:38
Om met Hermasn Finkers te spreken, boeken van Van Rijbroek vallen in de categorie "boeken voor in de openhaard"
Reageer
Aimed @Znorkus2 februari 2026 09:13
Niet dat ze er per se iets mee doen. Maar je data wordt in ieder geval wel verzameld mocht je een verdachte crimineel in je buurt hebben en ze gooien het sleepnet eroverheen.
Reageer
Scriptkid @Znorkus2 februari 2026 09:31
En dat is wat wij allen denken.
Reageer
Wouterie @Scriptkid2 februari 2026 09:49
Of hopen...
Reageer
anboni @Znorkus2 februari 2026 10:50
Gelukkig zijn we niet voor onze volledige overheids infrastructuur afhankelijk van een land waar die zekerheid ook een stuk minder aan het worden is...
Reageer
Heroic_Nonsense @Znorkus2 februari 2026 11:39
Een staatshacker hackt niet alleen burgers van de betreffende staat. Sterker nog, ik denk dat de focus op het buitenland ligt, om op die manier de positie van het eigen land te verbeteren. Bijvoorbeeld door (bedrijfs)spionage, blackmail of digitale oorlogsvoering.

Met andere woorden, in welk land je woont, maakt in deze niet zoveel uit. Als Nederlandse staatshackers zich al aan een ethiek (moeten) houden, geldt dat zeker niet voor staatshackers uit andere landen.

Dus gehackt worden kun je altijd - het is alleen de vraag door wie.

Overigens moet je wel interessant zijn voor zo'n land voordat ze resources pompen in het hacken van jou als individu. Je zal meer risico lopen als je werkt bij ASML, Defensie of in de politiek zit, bijvoorbeeld.
Reageer
X-DraGoN 2 februari 2026 09:18
Mijn vraag is wat er mogelijk geweest is tijdens de aanval. Wij gebruiken op het werk ook notepad++

Moeten we ons zorgen maken over eventuele "chinese" inmenging in ons bedrijf? Hoe specifiek was de aanval?

Helpt upgraden naar de laatste versie? Ah nee, want de schade zou al geleden zijn ergens in november van vorig jaar... Ik weet nooit goed hoe ik me moet voelen bij zo een berichten en ben ook niet zeker of we ons zorgen moeten maken of niet.

We zijn geen groot bedrijf, we hebben geen grote middelen, wat doe je dan? Het vergeten met de denkwijze: "we zijn toch niet interessant genoeg om aan te vallen". Of heel je netwerk gaan afzoeken naar iets dat er potentieel niet is en dus mankracht daaraan kwijt zijn die veel beter ingezet zouden kunnen worden voor andere "dringendere taken?"

Moeilijke keuze vind ik dat...
Reageer
Fugitive2008 2 februari 2026 09:27
Via de softwarebeheerportaal van ons bedrijf is Notepad++ versie 8.5.4 beschikbaar (al sinds dat we over zijn gegaan naar dit portaal) maar mij lijkt het vreemd (met mijn beperkte it kennis) dat dit niet de laatste versie is of is er een IT beheer keuze dat dit niet de laatste versie is? Ik ben er 90% zeker van dat dit niet in de gaten wordt gehouden (net als dat ik naar de IT officer moet mailen dat bv de servers van microsoft365 eruit liggen, ik ben maar een simpele structural engineer).
Reageer
baseoa 2 februari 2026 09:31
Notepad++ gebruikt nu een andere hostingprovider.
Interessant. Er staat dat ze nog niet weten wat het precieze technische mechanische was waarmee ze binnenkwamen, dus of (zoals de bron stelt) "a new hosting provider with significantly stronger security practices" de aanval had voorkomen is dan lastig te zeggen

Een provider die zoiets overkomt zou er — gemiddeld genomen — toch beter op voorbereid zijn dan een provider voor wie zo'n aanval nog nieuw is?

Bij ons (tech- maar niet hosting)bedrijf hebben we ook veel technische en organisatorische maatregelen die (digitale) inbraak moet voorkomen alsook de impact beperken indien het gebeurt. Het vertrouwen van klanten verliezen is een existentieel risico voor bedrijven zoals ons of een hostingpartij. Ik kan me dus inleven en niet anders voorstellen dan dat zo'n incident een hele strikte beveiligingscultuur bewerkstelligt bij management en medewerkers, voor zover die er niet al was, terwijl je dat bij een nieuwe provider nog niet per se weet (ze kunnen veel zeggen..)

[Reactie gewijzigd door baseoa op 2 februari 2026 09:34]

Reageer
smesjz 2 februari 2026 10:17
En gezien de auteur van notepad++ z'n steun voor Taiwan heeft uitgesproken (zie o.a. Downloads pagina) kan dit mogelijk een aanleiding zijn.
Reageer
William_H @smesjz2 februari 2026 11:50
Ah ik vroeg mij al af wat de rede kon zijn om Notepad++ aan te vallen vanuit de Chinezen. Maar hierbij heb je het motief goed onderbouwd.
Reageer
koppie 2 februari 2026 08:50
Het blijft schokkend hoeveel pogingen en via welke wegen staten toegang proberen te krijgen, maar ik vind dit wel heel eerlijk dat ze delen. Het duidelijk maken van de manier waarop toegang werd gekregen maakt dat we weer wat beter gaan opletten. Ik denk dat in dit geval dat het ontbreken van winstoogmerk helpt dat ze transparanter kunnen zijn dan een hoop andere partijen.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq