Notepad++ onthult: 'Hackaanval was gerichte kaping door Chinese staatshackers'

Notepad++ onthult dat de hack van eind 2025 waarbij kwaadaardige updates gericht werden verspreid waarschijnlijk het werk was van Chinese staatshackers. Dit blijkt uit een analyse van externe securityexperts. Het onderzoek naar de compromittering van de app loopt nog.

Notepad++ meldde op 9 december vorig jaar dat de tekstbewerkingsapp het doelwit was van een hackaanval. Het bracht toen versie 8.8.9 uit die een fix bracht voor de misbruikte kwetsbaarheid. Het dataverkeer voor de updater van Notepad++ bleek soms te worden omgeleid naar kwaadaardige servers, die vervolgens kwaadaardige code aanboden aan sommige gebruikers.

Nu onthult Notepad++ meer over deze aanval op infrastructuurniveau, waardoor kwaadwillenden updateverkeer voor notepad-plus-plus.org konden onderscheppen en omleiden. De manier waarop dit technisch werd gedaan, wordt nog verder onderzocht, maar volgens Notepad++ is nu wel duidelijk dat de hack plaatsvond bij de hostingprovider. De code van de app zelf was dus niet kwetsbaar of gecompromitteerd.

Doelgerichte hostinghack

Het updateverkeer van enkele specifieke gebruikers van Notepad++ is selectief omgeleid naar een server van de aanvallers, die daar kwaadaardige updatecode ter download doorgaven aan hun doelwitten. Deze aanvalscampagne begon in juni 2025 en liep tot zeker 10 november, maar mogelijk tot 2 december, meldt Notepad++ nu.

Op 2 september was er gepland onderhoud van de gedeelde hostingserver, waarbij de kernel en firmware werden bijgewerkt. Het lijkt erop dat die updates de toegang van de aanvallers afkapten. Zij hadden echter tot 2 december nog inloggegevens voor interne systemen waarmee ze updateverkeer konden omleiden. Op 10 november staakten de aanvallers hun actieve hackpogingen.

Volgens de makers van die app oordelen 'meerdere onafhankelijke securityonderzoekers' dat de aanvaller waarschijnlijk een hackersgroep is met Chinese staatssteun. Dit zou volgens Notepad++ de zeer gerichte targeting van de aanval verklaren. Dat betrof naast specifieke gebruikers van Notepad++ ook de app zelf, want de aanvallers richtten zich volgens de analyse door securityexperts niet op andere hostingklanten die de gehackte server gebruikten. Notepad++ gebruikt nu een andere hostingprovider.

Notepad++
Notepad++

Door Jasper Bakker

Nieuwsredacteur

Feedback • 02-02-2026 08:32
103 • submitter: pven

02-02-2026 • 08:32

103

Submitter: pven

Lees meer

Microsoft geeft testversies Paint, Notepad en Knipprogramma meer AI-functies
Microsoft geeft testversies Paint, Notepad en Knipprogramma meer AI-functies Nieuws van 24 mei 2025
Microsoft gaat AI-samenvattingen toevoegen aan Notepad in Windows 11
Microsoft gaat AI-samenvattingen toevoegen aan Notepad in Windows 11 Nieuws van 14 maart 2025
Microsoft kondigt het einde van WordPad aan
Microsoft kondigt het einde van WordPad aan Nieuws van 2 september 2023
Ontwikkelaars halen Notepad++ weg bij SourceForge
Ontwikkelaars halen Notepad++ weg bij SourceForge Nieuws van 15 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer Software development Websites en community's Politiek en recht Privacy China Cybercrime Hack Hackers Hosting Infrastructuur Notepad Update

Reacties (103)

-Moderatie-faq
103
101
51
7
0
38
Wijzig sortering

Sorteer op:

Weergave:
RichieB 2 februari 2026 09:12
De eerste vraag die bij me opkwam was: zijn die updates niet gesigned met een certificaat? En zo ja, hoe kon de aanvaller dat signature namaken? Het antwoord is: de updates waren toen de aanval plaatsvond al een paar maanden niet meer gesigned. Er werd zelfs aangeraden waarschuwingen van antivirus hierover te negeren.

Gelukkig is dit ondertussen opgelost:

Within Notepad++ itself, WinGup (the updater) was enhanced in v8.8.9 to verify both the certificate and the signature of the downloaded installer. Additionally, the XML returned by the update server is now singed (XMLDSig), and the certificate & signature verification will be enforced starting with upcoming v8.9.2, expected in about one month.

[Reactie gewijzigd door RichieB op 2 februari 2026 09:14]

Reageer
CAPSLOCK2000
@RichieB2 februari 2026 13:09
De eerste vraag die bij me opkwam was: zijn die updates niet gesigned met een certificaat? En zo ja, hoe kon de aanvaller dat signature namaken? Het antwoord is: de updates waren toen de aanval plaatsvond al een paar maanden niet meer gesigned. Er werd zelfs aangeraden waarschuwingen van antivirus hierover te negeren.
Oh wat een pijnlijk verhaal. Ik dacht eerst dat iemand bij Notepad++ een domme fout had gemaakt maar dat is het totaal niet. Ze zitten klem tussen bureacratie en regels. In het kort is het probleem dat de regels veranderd zijn waardoor ze geen certificaat op naam van "Notedpad++" meer kunnen krijgen.

Het probleem is een redelijk fundamenteel voor het certificaat-systeem dat we hebben dat is gebaseerd
op een hand vol organisaties die dergelijk certificaten uitgeven, en die hebben hele strenge regels om misbruik te voorkomen.
Dat is niet onterecht maar iedere regel zal ook bepaalde mensen/situaties onbedoeld uitsluiten. Een voor- én nadeeel hiervan is dat ze allemaal dezelfde regels volgen. Daardoor is er weinig ruimte voor coulance of maatwerk, al lijkt Digicert z'n best te hebben gedaan. Al die clubs controleren elkaar en treden agressief als iemand de regels breekt.
Het is niet helemaal fundamenteel, er zijn andere manieren om SSL-certificaten uit te geven (zoals LetsEncrypt met server-certificaten heeft laten zien), maar het hele systeem veranderen is niet makkelijk.

Notepad++ heeft op zich goed gereageerd door GPG-signatures te publiceren.Dat is een ander maar vergelijkbaar systeem. Het belangrijkste verschil is dat er geen third-party is die de boel controleert, maar dat dit door de updater (of de gebruiker zelf) gedaan wordt. Dat is imho niet fiundamenteel beter of slechter maar het heeft in ieder geval als voordeel dat je alles in eigen beheer kan doen zonder afhankelijk te zijn van een CA. Een nadeel is dat deze methode niet zo mooi in Windows integreert, in dit voorbeeld kwamen er dus fouten van virussscanners die geen support hebben voor GPG.

Hier wil ik dan even pleiten voor een "gedistribueerd repository" model voor software-distributie.
Dat lijkt veel op wat we kennen als "de appstore" maar gedistribueerd/gefedereerd ipv gecentraliseerd.
Ik baseer me vooral op hoe Linux-distributies daar mee om gaan ("apt-get") en de F-Droid appstore en een vleugje "certificate transparancy".

Het idee is dat er een centraal punt is waar software wordt gecontroleerd en geregistreerd*. Als gebruiker hoef je dan niet al die individuele applicaties te kennen en te controleren maar vertrouw je op de organisatie. Die organisatie maakt zelf z'n eigen regels, dus precies zoals de appstores, Linux-distributies en Steam het doen.
Het verschil is dat er niet één zo'n punt is maar verschillende die elkaar aanvullen en overlappen. In plaats dat je op één organisatie blind vertrouwt vraag je een oordeel aan meerdere 'adviseurs'. Welke adviseurs je gebruikt en hoe je met hun oordeel kun je als gebruiker zelf bepalen.

Iedereen die dat wil kan zelf zo'n register beginnen. Ik denk dan aan organisaties als: alle appstores, Linux-distributes, Valve/Steam, Epic, Roblox, overheden, de Consumentenbond, security-bedrijven zoals virusscanners, maar ook specialisten en vakorganisaties.
Zo'n oordeel hoeft niet een technisch te zijn of of over security te gaan. Je zou bv ook een register kunnen bouwen voor organisatie van artsen met een mening over medische software, of opvoeders met een mening over software voor kinderen, of privacy-experts. Je zou zelfs zo'n register kunnen opzetten voor je eigen bedrijf zodat je medewerkers alleen goedgekeurde software kunnen gebruiken.

Als je een stuk software wil installeren dan gaat de installer van je OS te raad bij die verschillende registers met adviezen. Als gebruiker kun je configureren wie je wil vertrouwen en hoe dat precies moet werken. Bv dat een applicatie bij drie registers bekend is, of dat je geen software wil met security oordeel "laag", of dat de software goedgekeurd moet zijn door een diëetist of fysiotherapeut.

Op deze manier zijn we niet meer afhankelijk van één centrale club (van CA's) die alle regels voor de hele wereld maakt en zijn we ook niet afhankelijk van één controle procedure.

* distributie kan via andere kanalen lopen, via het register kunnen we controleren dat er niet met onze downloads is gerommeld. Dat houdt de belasting op de registers laag.
Reageer
BeosBeing @CAPSLOCK20009 februari 2026 08:57
Hier wil ik dan even pleiten voor een "gedistribueerd repository" model voor software-distributie.
Dat lijkt veel op wat we kennen als "de appstore" maar gedistribueerd/gefedereerd ipv gecentraliseerd.
Ik baseer me vooral op hoe Linux-distributies daar mee om gaan ("apt-get") en de F-Droid appstore en een vleugje "certificate transparancy".
Dat is inderdaad een model met vele voordelen. Het enige probleem is dat dit door diverse banken en op Android door Google wordt tegengewerkt. Google heeft haar eigen methode om apps te ondertekenen en vele overheidsgerelateerde organisaties en deze banken en kiezen ervoor om alleen die te ondersteunen, en Apple uiteraard. Zelfs Microsofts Authenticator wordt meestal genegeerd.
Reageer
Ikhouvankaas @BeosBeing9 februari 2026 10:50
Een strikte analyse van het internationaal recht stelt dat zolang de huidige Taiwanese regering zichzelf nog steeds beschouwt als de "regering van de Republiek China die China vertegenwoordigt" en in haar grondwet het gehele Chinese grondgebied claimt, het moeilijk, zo niet onmogelijk is, om erkend te worden als "een nieuw, onafhankelijk land van China".
Reageer
BeosBeing @Ikhouvankaas9 februari 2026 11:36
Een strikte analyse van het internationaal recht stelt dat zolang de huidige Taiwanese regering zichzelf nog steeds beschouwt als de "regering van de Republiek China die China vertegenwoordigt" en in haar grondwet het gehele Chinese grondgebied claimt, het moeilijk, zo niet onmogelijk is, om erkend te worden als "een nieuw, onafhankelijk land van China".
Je bedoelt dat dat niet kan omdat ze heel China claimen?
Je zou kunnen stellen dat de RoC nog steeds de legitieme vertegenwoordiging is van China en op die grond juist de PRC niet erkennen. Volgens mij zijn er enkele landen die dat doen. Beide erkennen is inderdaad juridisch strikt gezien onmogelijk.

Pak nog een stukje Queso Manchego
Reageer
Ikhouvankaas @BeosBeing9 februari 2026 12:51
Voor zover ik weet, erkent geen van beide partijen de andere als een onafhankelijk land, althans niet vanuit juridisch oogpunt. Daarom reizen hun burgers naar de andere kant met een speciale toegangskaart in plaats van een paspoort. Volgens de wetgeving erkennen beide partijen de mensen van de andere kant ook als hun eigen staatsburgers. De Taiwanese autoriteiten hebben de afgelopen jaren echter geprobeerd dit stilletjes op administratief niveau te veranderen (om de wet niet te wijzigen).
Reageer
kimborntobewild @RichieB2 februari 2026 11:02
Was het Notepad++ zelf die aanraadde de waarschuwing van de AV te negeren?
Reageer
gixslayer @kimborntobewild2 februari 2026 11:36
Zie release notes voor de context. Ze hadden een certificate, maar die was expired en konden ze niet hernieuwen.

Helaas blijft code signing een lastig verhaal voor open source / individuele ontwikkelaars, en komt het er vaak op neer dat je een bak geld naar een CA moet pompen, of zoals in dit geval ze je een certificate gunnen (totdat ze het dus opeens niet meer doen).
Reageer
fuzzyIon @gixslayer2 februari 2026 12:02
hoezo? iedereen kan toch een gpg key aanmaken en publiceren?
Reageer
closefuture @fuzzyIon2 februari 2026 12:30
Code signing bij Windows (en ook macOS) gaat met X.509 certificaten, niet met PGP.
Reageer
William_H @gixslayer2 februari 2026 11:46
Ik vraag mij af hoe dit dan zit met updates die je laat lopen via een Chocolatey of een WinGet. Gaven die dan ook aan dat de update niet gesigned waren / gecompromiteerd? Of checkt die echt alleen de hash en als die overeenkomt installeert hij hem. Het lijkt uit het artikel er namelijk op dat de updater van Notepad++ gecompromiteerd is. Dus als je die niet gebruikte was je veilig?
Reageer
elmuerte @gixslayer2 februari 2026 14:08
Code signing is in veel plaatsen misplaatst vertrouwen. Bad actors kunnen ook een code signing certificaat kopen. Windows voert geen controle uit om te kijken of het gebruikte certificaat wel het correcte certificaat is. Er is ook geen mechanisme voor dat. Hetzelfde probleem heb je met TLS. Daar zou je wel Certificate Authority Authorization en/of DANE voor kunnen gebruiken, maar dat is zeer beperkt. Voor een .exe wordt het al heel wat lastiger.
Reageer
smesjz 2 februari 2026 10:17
En gezien de auteur van notepad++ z'n steun voor Taiwan heeft uitgesproken (zie o.a. Downloads pagina) kan dit mogelijk een aanleiding zijn.
Reageer
dutchgio
@smesjz2 februari 2026 12:56
Ook erg vaak steun voor Oekraïne, dan zou het dus net zo goed uit Rusland kunnen komen.
Reageer
smesjz @dutchgio2 februari 2026 13:10
Blijkbaar hebben meerdere onafhankelijke security onderzoekers aangegeven dat het waarschijnlijk uit China komt. Als er aanwijzingen waren voor Russische betrokkenheid, was dat echt wel gedeeld.
Reageer
kodak
@smesjz2 februari 2026 15:54
Als er aanwijzingen waren voor Russische betrokkenheid, was dat echt wel gedeeld.
Waarop baseer je dat? Want het feit dat onderzoekers onafhankelijk zijn zegt weinig over de kwaliteit van de conclussies. De conclussies gaan over waarschijnlijkheid. Goed benoemen van waarschijnlijkheid gaat ook over benoemen van wat minder waarschijnlijk is. En dat ontbreekt volledig in de bron en het nieuws. Het is dus eerder de vraag wat de onderzoekers precies als onderbouwing hebben. Juist om fouten te voorkomen.
Reageer
ymmv @dutchgio2 februari 2026 17:23
Ik kijk op de newspagina met info over oude releases en ik zie een enorm aantal politieke opmerkingen over Oekraine, Taiwan, de Olympische Winterspelen in China en zelfs Elon Musk achter veel nieuwsitems geplakt. Professioneel is anders.
Reageer
William_H @smesjz2 februari 2026 11:50
Ah ik vroeg mij al af wat de rede kon zijn om Notepad++ aan te vallen vanuit de Chinezen. Maar hierbij heb je het motief goed onderbouwd.
Reageer
nullbyte @William_H2 februari 2026 15:15
De reden is nogal simpel en heeft niet per definitie iets met Taiwan te maken. Notepad++ is al jaren het defacto standaard kladblok programma, dat besmetten met malware, RAT's enz is een enorm groot aanvalsvlak voor APT's.

Het zelfde geldt voor de een over jaren lange periode expres ingebakken kwetsbaatheid in lib lzma die per ongeluk ontdekt werd enige tijd geleden. Remote root acces tot alle linux servers die (stom genoeg) direct met ssh met internet verbonden zijn is een natte droom van elke APT.

[Reactie gewijzigd door nullbyte op 2 februari 2026 15:15]

Reageer
Jorah_Newstone @nullbyte2 februari 2026 18:43
Niet perse met Taiwan te maken, maar een politieke uiting op je downloads pagina zetten kan wel kwaad bloed zetten en ervoor zorgen dat meer hackersgroepen je als mooi doelwit zien.
Reageer
diedie2 2 februari 2026 17:03
Als je natuurlijk versies maakt met statements als "Notepad++ v8.6.9: Support Taiwan's Independence" kan je maar beter zorgen dat je infrastructuur veilig is :+
Reageer
Jorah_Newstone @diedie22 februari 2026 18:40
Wow, dit is natuurlijk vragen om problemen imho, niet dat ik China support maar inderdaad je zet hier wel een target op je rug mee.
Reageer
peterbrand @Jorah_Newstone3 februari 2026 02:13
Ik kan geen reden bedenken dat positief denken over een democratisch land een probleem zou moeten geven.

Maar wat wel zo is dat China een moordzuchtig land is. Oeigoeren, openlijke steun aan de oorlogsmachine rusland, steun aan noord Korea,

Toch zijn er nog Nederlandse nullo's die chinese auto's kopen.
Reageer
Ikhouvankaas @peterbrand3 februari 2026 10:28
Ik weet het niet zeker, maar erkent onze regering Taiwan als een soevereine staat?

[Reactie gewijzigd door Ikhouvankaas op 3 februari 2026 10:30]

Reageer
BeosBeing @Ikhouvankaas9 februari 2026 09:04
Ik weet het niet zeker, maar erkent onze regering Taiwan als een soevereine staat?
Nee, en eigenlijk past dat in de wens van Taiwan, zelf vinden die namelijk dat ze de originele staat China zijn. Taiwan heet officieel "Republic of China". Ze claimen officieel dan ook zeggenschap over mainland China maar zijn uiteraard wel bewust dat dit niet praktisch/realistisch uitvoerbaar is. Je zou kunnen zeggen dat ze hopen op het instorten van de PRC zodat ze hun claim kunnen vestigen.

Maar destijds heeft de Nederlandse regering levering van onderzeeërs door scheepswerf De Schelde aan Taiwan geweigerd. Men wilde per sé People's Republic China te vriend houden om commerciële redenen.
Reageer
Ikhouvankaas @BeosBeing9 februari 2026 10:35
Het lijkt erop dat velen van ons te weinig weten over het Oosten, en met name over China.
Reageer
BeosBeing @Ikhouvankaas9 februari 2026 10:50
Klopt. Ik raad je - trouwens iedereen - aan om je eens te verdiepen in de clashes tussen China en Japan, Zuid-Korea en vooral alles in de Zuid-Chinese zee, met Filipijnen, Vietnam, Brunei, Maleisië, Indonesië. China zegt in feite hij heet toch "Zuid-Chinese" zee, dus hij is van ons. Het is een kwestie van tijd voordat ze dat ook van de Oost-Chinese zee zeggen.
In de afgelopen eeuwen heeft het keizerrijk ook Vietnam (diverse keren) en Korea bezet. Vietnam heeft zich toen in een opstand vrijgevochten. Van Korea zit hoe ze onafhankelijk werden niet in mijn hoofd.
Reageer
Ikhouvankaas @BeosBeing9 februari 2026 12:41
Gedurende een bepaalde periode werd Vietnam als provincie door China bestuurd. Korea werd niet door China bestuurd, maar nam wel deel aan het Chinese tribuutstelsel.
Reageer
BeosBeing @Ikhouvankaas9 februari 2026 14:42
Gedurende een bepaalde periode werd Vietnam als provincie door China bestuurd. Korea werd niet door China bestuurd, maar nam wel deel aan het Chinese tribuutstelsel.
Vietnam is meerdere keren bezet geweest, ik dacht zeker 3 keer.
Reageer
CPM 3 februari 2026 13:21
Deze Website legt exact uit hoe alles in zijn werk is gegaan en de IOCs. In tegenstelling tot de statement die de Notepad++ maker zelf op zijn website heeft staan.

En hier de van ons NCSC:

https://www.ncsc.nl/waarschuwing/kwetsbaarheid-notepad

En hier ook een diepere analyse:

https://www.rapid7.com/bl...o-lotus-blossoms-toolkit/

En hier een nog diepere analyse:

https://securelist.com/notepad-supply-chain-attack/118708/

Wat mij opvalt is dat het NCSC niet de volledige IOC's publiceert.

[Reactie gewijzigd door CPM op 3 februari 2026 19:29]

Reageer
Joen @CPM4 februari 2026 22:38
Bedankt voor deze nuttige linkjes!

Ik wist al wel dat (zeker als je de juiste updates inclusief geüpdatet GUP / WinGUP hebt) de kans klein is dat je slachtoffer van de aanval zou zijn, maar uit het stuk van de NCSC begrijp ik dat de kans echt bijzonder klein is geweest.

De andere linkjes zijn mij hier en daar iets te technisch om goed te begrijpen, maar ik zie wel dat ALS je slachtoffer zou zijn geworden dat men best wel veel kan doen.
Reageer
X-DraGoN 2 februari 2026 09:18
Mijn vraag is wat er mogelijk geweest is tijdens de aanval. Wij gebruiken op het werk ook notepad++

Moeten we ons zorgen maken over eventuele "chinese" inmenging in ons bedrijf? Hoe specifiek was de aanval?

Helpt upgraden naar de laatste versie? Ah nee, want de schade zou al geleden zijn ergens in november van vorig jaar... Ik weet nooit goed hoe ik me moet voelen bij zo een berichten en ben ook niet zeker of we ons zorgen moeten maken of niet.

We zijn geen groot bedrijf, we hebben geen grote middelen, wat doe je dan? Het vergeten met de denkwijze: "we zijn toch niet interessant genoeg om aan te vallen". Of heel je netwerk gaan afzoeken naar iets dat er potentieel niet is en dus mankracht daaraan kwijt zijn die veel beter ingezet zouden kunnen worden voor andere "dringendere taken?"

Moeilijke keuze vind ik dat...
Reageer
Jeoh @X-DraGoN2 februari 2026 13:02
Als je de installers nog hebt kun je kijken of de hash matcht met wat er in de releases staat: https://github.com/notepad-plus-plus/notepad-plus-plus/releases

Ik werk al een tijdje niet meer met Windows maar volgens mij is het commando `Get-FileHash -Path $filepath -Algorithm SHA256`
Reageer
X-DraGoN @Jeoh2 februari 2026 14:06
Bedankt voor de suggestie maar ik heb een inventaris gemaakt van alle geinstalleerde versies en daar zit geen enkele 8.8.9 tussen.

Je zou het ook breeder moeten zien, er was al een breach vanaf juni ergens, dus misschien heeft het ook in eerdere versies gezeten?
Reageer
Jeoh @X-DraGoN2 februari 2026 15:27
Klopt, je zou dus iedere download van een Notepad++ installer ouder dan 8.8.9 tussen toen en december 2025 als verdacht kunnen zien.
Reageer
TimEasy @Jeoh3 februari 2026 18:49
Bedankt voor de tip, heb net 3 installers gecontroleerd en alle 3 komen ze overeen.
Reageer
Ebbez @X-DraGoN2 februari 2026 14:55
Dit is een groot probleem. In de eerste plaats is dit ook waarom werkcomputers/laptops zo beperkt worden in het installeren van programma's. Kan je bij jouw bedrijf een programma installeren die niet gesigned zijn? Dan ben je al gelijk kwetsbaar.

Als je het dan ook nog eens met adminrechten mag installeren is de enige echte oplossing een clean install (geen factory reset) op de apparaten waar dit heeft plaatsgevonden. Heb je het geinstalleerd zonder adminrechten te geven, dan kan je het user-account verwijderen en een nieuwe aanmaken, mits je useraccount geen adminrechten heeft en je je Windows wachtwoord nooit na Windows-inlog heb ingetypt.

Afhankelijk van het soort virus is het gewoon nadat het is geinfilitreerd niet te detecteren. Virussen kunnen door antivirus software gedetecteerd worden door te kijken naar bekende patronen in het bestanden & werkgeheugen, net als in het echt er in het dierlijk lichaam een virus gedecteerd wordt door het immuunsysteem en er op basis van de antigenen een reactie plaatsvindt. (Immuunsysteem produceert antilichamen om de antigenen te blokkeren en zo het virus uit te schakelen).

Maar een geavanceerd computervirus gedraagt zich meer als AIDS/HIV. Het verandert "zijn antigenen" (uiterlijk/programmacode) zodat het niet gedetecteerd kan worden door het afweersysteem (antivirus).

[Reactie gewijzigd door Ebbez op 2 februari 2026 15:00]

Reageer
latka @Ebbez2 februari 2026 16:11
"Heb je het geinstalleerd zonder adminrechten te geven, dan kan je het user-account verwijderen en een nieuwe aanmaken, mits je useraccount geen adminrechten heeft en je je Windows wachtwoord nooit na Windows-inlog heb ingetypt."
Dan ga er er vanuit dat er geen local exploit is gebruikt om door te stoten naar admin. Lijkt me nogal een aanname als je computer al geraakt is met zaken die er niet thuishoren. En met UEFI biossen die drivers injecteren tijdens een Windows install lijkt het me helemaal niet zuiver om de hardware in kwestie nog te vertrouwen.
Reageer
Ebbez @latka2 februari 2026 16:21
Ik ben niet gespecialiseerd in security. Er zullen geheid zerodays bestaan die dat kunnen doen, maar ik geloof dat de UAC het normaalgesproken tegen zou houden. Het probleem bij de meerderheid van de virussen en mensen ontstaat vaak dat ze bij de UAC gewoon doorklikken op "toestemming geven"/"uitvoeren als administrator". En dan heeft het virus eigenlijk gewoon vrij spel.

Ik weet ook niet heel veel van UEFI, maar wel dat Secure Boot en firmware signing een maatregel is die UEFI biosses normaal gesproken hanteren om te voorkomen dat er malafide firmware in de UEFI terecht komt.
Reageer
latka @Ebbez2 februari 2026 16:41
Dat is de theorie, maar local exploits en firmware hacks zijn niet theoretisch maar aangetoond
Reageer
BeosBeing @Ebbez9 februari 2026 09:24
Dit is een groot probleem. In de eerste plaats is dit ook waarom werkcomputers/laptops zo beperkt worden in het installeren van programma's.
Dat heeft een andere reden. Vroeger deden veel mensen software installeren uit dubieuze bronnen.
Kan je bij jouw bedrijf een programma installeren die niet gesigned zijn? Dan ben je al gelijk kwetsbaar.
Dit bewijst dat code die wel gesigned is niet veiliger is.
Heb je het geinstalleerd zonder adminrechten te geven, dan kan je het user-account verwijderen en een nieuwe aanmaken, mits je useraccount geen adminrechten heeft en je je Windows wachtwoord nooit na Windows-inlog heb ingetypt.
En dan log je na het aanmaken van een nieuw user-account opnieuw in met je Microsoft-account en dan heb je gelijk de rommel terug.
Reageer
Znorkus 2 februari 2026 08:47
Creepy hoor, zo'n groep ('staat') achter je aan hebben die over alle grenzen gaat, letterlijk en figuurlijk, om je te volgen en in de gaten te houden. Ben blij dat we in een land leven waar zoiets in de regel alleen gebeurt als er duidelijke verdenkingen zijn.
Reageer
Revres @Znorkus2 februari 2026 08:57
Ik ben ook van mening dat wij dit hier beter op orde hebben, beter hebben ingericht en ons beter houden aan wetgeving en verdragen. Tegelijkertijd geloof ik dat er in Nederland door bepaalde instanties informatievoorziening plaatsvindt die niet in lijn is met de afspraken die wij kennen. En waar ik misschien zelf ook niet eens heel erg op tegen ben. Details zullen we toch nooit te weten komen.
Reageer
Alfa1970 @Revres2 februari 2026 09:13
Nederland heeft ook staatshackers hoor.
En nog hele goeie ook.
Er is tenminste één boek over geschreven, maar wellicht meer, ik heb er echter maar 1 van gelezen.
Reageer
Heaget @Alfa19702 februari 2026 09:15
Wil je de titel van het boek delen?
Reageer
Jeldert @Heaget2 februari 2026 09:22
Bekijk de boeken van Huib Modderkolk eens.
Reageer
Heaget @Jeldert2 februari 2026 09:27
Goeie tip! Ik heb "Het is oorlog maar niemand die het ziet" al gelezen!
Reageer
William_H @Heaget2 februari 2026 11:48
Beluister ook eens de podcast "De Schaduwoorlog", die door Huib Modderkolk en Beatrice de Graaf is gemaakt. Hele informatieve en betrouwbare podcast over wat er zich in de schaduwen van oa het internet afspeelt.
Reageer
IamGrimm @Jeldert2 februari 2026 10:06
Vreselijk offtopic maar ik heb menig bijzondere namen gezien in mijn tienerjaren als orderpicker maar Huib Modderkolk klinkt niet als een echte naam. Het is de combinatie voor+achternaam overigens, niet de individuele namen.

[Reactie gewijzigd door IamGrimm op 2 februari 2026 10:06]

Reageer
david-v @IamGrimm2 februari 2026 10:19
Het is wel een echte persoon, Onderzoeksjournalist bij de Volkskrant.
Reageer
IamGrimm @david-v2 februari 2026 10:47
Ja nee dat begrijp ik wel. Ik wil niet beweren dat hij niet bestaat, gewoon dat de naam grappig klinkt.
Reageer
BeosBeing @IamGrimm9 februari 2026 09:42
Ik wil niet beweren dat hij niet bestaat, gewoon dat de naam grappig klinkt.
Modderkolk is ook een plaatsnaam (dorp dacht ik maar waarschijnlijk nu opgegaan in een andere gemeente). Er is een boerderij in Loenen op de Veluwe die Groote Modderkolk heet, een koffiehuis en er zijn diverse bedrijven met die naam.
https://www.modderkolk.nl/
https://www.modderkolk.com/
zonder website maar op FB: Modderkolk Projects & Maintenance BV.
en uiteraard zijn er diverse personen met die naam.
Zoeken op de combinatie voornaam en achternaam vindt meestal niet wat je wilt, dan zul je het tussen aanhalingstekens moeten zetten.
Reageer
Schurkzor @Heaget2 februari 2026 09:23
"Unhacked" van spion en hacker Rian van Rijbroek :+

[Reactie gewijzigd door Schurkzor op 2 februari 2026 09:23]

Reageer
bvdbos @Schurkzor2 februari 2026 09:36
Ik ben nog steeds aan het wachten op de film:
equationunequal in "Cybercharlatan Rijbroek en het Sanderink bedrijvenimperium"
Reageer
djwice @bvdbos2 februari 2026 09:47
Je kunt de trailer nu alvast maken:
https://huggingface.co/Lightricks/LTX-2

Twee maanden flink doorwerken op een RTX 6000 Pro Blackwell en de film is af.
Reageer
Heaget @Schurkzor2 februari 2026 09:28
Dankjewel! Die kan erbij op de lijst/stapel van boeken die ik nog moet lezen.
Reageer
Klaus_1250 @Heaget2 februari 2026 09:35
@Heaget Boeken van charlatan Rian van Rijbroek zijn niet om te lezen, is meer niveau "papier om de haard mee aan te steken".
Reageer
Heaget @Klaus_12502 februari 2026 09:47
Ah, sarcasme.. Dat had ik even niet opgepikt
Reageer
downtime @Heaget2 februari 2026 20:24
Inderdaad sarcasme. Rian van Rijbroek staat ook bekend als de "cybercharlatan".
Reageer
curkey @Klaus_12502 februari 2026 11:38
Bij mijn tweedehands versie zijn vrijwel alle bladzijden voorzien van een mysterieuze bruine streep
Reageer
avlt @Heaget2 februari 2026 10:38
Om met Hermasn Finkers te spreken, boeken van Van Rijbroek vallen in de categorie "boeken voor in de openhaard"
Reageer
MischaBoender @Schurkzor2 februari 2026 13:39
Eigenlijk is moderatie score -1 nog niet voldoende negatief voor deze post... ;)
Reageer
BattleForce @Revres2 februari 2026 12:58
Er word meer verzameld dan je redelijkerwijs mag verwachten. Niet alleen als je “verdacht” word ;)

En de rest van het verhaal valt onder NDA’s.
Reageer
Aimed @Znorkus2 februari 2026 09:13
Niet dat ze er per se iets mee doen. Maar je data wordt in ieder geval wel verzameld mocht je een verdachte crimineel in je buurt hebben en ze gooien het sleepnet eroverheen.
Reageer
anboni @Znorkus2 februari 2026 10:50
Gelukkig zijn we niet voor onze volledige overheids infrastructuur afhankelijk van een land waar die zekerheid ook een stuk minder aan het worden is...
Reageer
Heroic_Nonsense @Znorkus2 februari 2026 11:39
Een staatshacker hackt niet alleen burgers van de betreffende staat. Sterker nog, ik denk dat de focus op het buitenland ligt, om op die manier de positie van het eigen land te verbeteren. Bijvoorbeeld door (bedrijfs)spionage, blackmail of digitale oorlogsvoering.

Met andere woorden, in welk land je woont, maakt in deze niet zoveel uit. Als Nederlandse staatshackers zich al aan een ethiek (moeten) houden, geldt dat zeker niet voor staatshackers uit andere landen.

Dus gehackt worden kun je altijd - het is alleen de vraag door wie.

Overigens moet je wel interessant zijn voor zo'n land voordat ze resources pompen in het hacken van jou als individu. Je zal meer risico lopen als je werkt bij ASML, Defensie of in de politiek zit, bijvoorbeeld.
Reageer
Scriptkid @Znorkus2 februari 2026 09:31
En dat is wat wij allen denken.
Reageer
Wouterie @Scriptkid2 februari 2026 09:49
Of hopen...
Reageer
Aardedraadje 2 februari 2026 08:37
Wat ik mij afvraag; hoe weten de hackers welk verkeer ze willen omleiden? Ze kennen hun targets dus dusdanig goed dat ze aan het verkeer kunnen afleiden dat dit van hun targets afkomstig is. Hoe weten de hackers dit? Is er bekend wie de targets waren?
Reageer
YouryDW @Aardedraadje2 februari 2026 08:44
Ik ga ervan uit dat ze weten op welke hardware en (ongepatched) OS dat de applicatie zal draaien om dan een gerichte payload te sturen naar die client om deze dan te onboarden in een botnet
Reageer
Floris4970 @Aardedraadje2 februari 2026 08:45
Als je de IP range weet van de organisatie die je probeert binnen te dringen? lijkt me niet mega lastig
Reageer
nullbyte @Floris49702 februari 2026 15:21
Idd, https://bgp.he.net/
Reageer
meowmofo @Aardedraadje2 februari 2026 08:46
Als het staat gesponsord is dan zal de informatie simpelweg van een internet tap afkomstig zijn.
Reageer
Schurkzor @Aardedraadje2 februari 2026 10:37
Verkeer routeren op basis van het publieke bron IP of IP prefix. Organisaties zoals IANA en hun continentale partners houden bij welke ip blokken bij welk land/bedrijf horen.
Reageer
Syzzer 2 februari 2026 09:09
De manier waarop dit technisch werd gedaan, wordt nog verder onderzocht, maar volgens Notepad++ is nu wel duidelijk dat de hack plaatsvond bij de hostingprovider.

[...]

Notepad++ gebruikt nu een andere hostingprovider.
Maar, de beveiliging van updates zou toch niet moeten rusten op je hosting provider? Daar heb je code signing voor, zodat je end-to-end je updates kunt authenticeren. Distribueert Notepad++ ongetekende code? Of hebben ze die signing keys bij hun hosting partij gestald?

Het lijkt me dat ze ook eens kritisch moeten kijken of ze wel afhankelijk willen zijn van een hosting provider voor de integriteit van hun updates.
Reageer
WoutervOorschot @Syzzer2 februari 2026 12:21
Schijnbaar wou de certificaatprovider geen nieuw certificaat uitgeven en zodoende is de signing verlopen. Daarna is deze aanval gebeurd. Ondertussen is er weer andere signing beschikbaar.

Ik stel me zo voor dat een project als notepad++ niet zomaar een bak geld en tijd heeft om zelf hosting etc op te zetten en te laten draaien. Dus in die zin zullen ze (buitenom signing) altijd het wel ergens anders hosten lijkt me.
Reageer
Fugitive2008 2 februari 2026 09:27
Via de softwarebeheerportaal van ons bedrijf is Notepad++ versie 8.5.4 beschikbaar (al sinds dat we over zijn gegaan naar dit portaal) maar mij lijkt het vreemd (met mijn beperkte it kennis) dat dit niet de laatste versie is of is er een IT beheer keuze dat dit niet de laatste versie is? Ik ben er 90% zeker van dat dit niet in de gaten wordt gehouden (net als dat ik naar de IT officer moet mailen dat bv de servers van microsoft365 eruit liggen, ik ben maar een simpele structural engineer).
Reageer
CPM @Fugitive20083 februari 2026 13:26
De laatste versie staat gewoon genoemd in het nieuwsbericht.
Reageer
baseoa 2 februari 2026 09:31
Notepad++ gebruikt nu een andere hostingprovider.
Interessant. Er staat dat ze nog niet weten wat het precieze technische mechanische was waarmee ze binnenkwamen, dus of (zoals de bron stelt) "a new hosting provider with significantly stronger security practices" de aanval had voorkomen is dan lastig te zeggen

Een provider die zoiets overkomt zou er — gemiddeld genomen — toch beter op voorbereid zijn dan een provider voor wie zo'n aanval nog nieuw is?

Bij ons (tech- maar niet hosting)bedrijf hebben we ook veel technische en organisatorische maatregelen die (digitale) inbraak moet voorkomen alsook de impact beperken indien het gebeurt. Het vertrouwen van klanten verliezen is een existentieel risico voor bedrijven zoals ons of een hostingpartij. Ik kan me dus inleven en niet anders voorstellen dan dat zo'n incident een hele strikte beveiligingscultuur bewerkstelligt bij management en medewerkers, voor zover die er niet al was, terwijl je dat bij een nieuwe provider nog niet per se weet (ze kunnen veel zeggen..)

[Reactie gewijzigd door baseoa op 2 februari 2026 09:34]

Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq