Aufgrund seiner Vielseitigkeit erfreut sich Notepad++ großer Beliebtheit. Es wird von vielen Menschen in verschiedenen Branchen genutzt, und auch viele Anwender im Allgemeinen vertrauen der Open-Source-Software. Offenbar wurde im Juni letzten Jahres der Server, der den automatischen Aktualisierungsdienst für Notepad++ bereitstellt, gehackt, so dass Angreifer die Benutzer gezielt auf von ihnen kontrollierte Server umleiten konnten, um die Anwendung über den integrierten Algorithmus automatisch zu aktualisieren.

Nach Angaben der Entwickler von Notepad++ handelte es sich bei den Angreifern offenbar um Mitglieder einer vom chinesischen Staat gesponserten Hackergruppe, die die Benutzer gezielt zu einem Notepad++-Installationsprogramm mit bösartigem Code umleiteten. Nach Angaben des Entwicklers war die Umleitung der Nutzer selektiv und der Angriff zielgerichtet, obwohl noch nicht mit Sicherheit feststeht, welche Organisationen oder Unternehmensnutzer von den Angreifern ins Visier genommen wurden. Nach der Analyse von Rapid 7 gehörten zu den Regionen, auf die das chinesische Lotus Blossom-Team abzielte, Mittelamerika und Südostasien, wo der Angriff hauptsächlich auf Telekommunikationsunternehmen, Luftfahrt, Medien und Behörden abzielte.

Nach Angaben der Entwickler , dem ehemaligen Dienstanbieter, der den Server für die Software-Update-Funktionalität gehostet hat, stellte sich bei der Untersuchung heraus, dass die Angreifer nicht an den Inhalten anderer Anbieter interessiert waren, die auf demselben gemeinsam genutzten Server gehostet wurden, und nur den mit Notepad++ verbundenen Software-Update-Dienst angriffen. Die fehlerhafte Datei "getDownloadUrl.php" war für die Angreifer bis zum 2. September 2025 direkt zugänglich, als ein zeitlich begrenztes Firmware- und Kernel-Update stattfand. Der Zugang war zu diesem Zeitpunkt noch nicht vollständig verloren, da sie bis zum 2. Dezember 2025 mit den erlangten Anmeldedaten weiterhin gezielt und selektiv Nutzer umleiten konnten.

Hinter dem Angriff steckt eine chinesische Spionagegruppe, die seit 2009 unter dem Namen Lotus Blossom aktiv ist und mit Angriffen auf Regierungs-, Telekommunikations-, Medien- und Luftfahrtunternehmen in Verbindung gebracht wird.

Als Reaktion auf diese Vorfälle haben die Entwickler von Notepad++ strengere Authentifizierungsprüfungen eingeführt, sowohl für digitale Signaturen als auch für die Zertifikate von heruntergeladenen Installationsprogrammen, so dass heruntergeladene Updates nicht mehr installiert werden, wenn der Code des Installationsprogramms aufgrund dieser Prüfungen manipuliert wurde.

Wichtig: Wer Notepad++ direkt vom offiziellen Server heruntergeladen und manuell aktualisiert hat, konnte nicht ins Visier der Angreifer geraten, sondern nur diejenigen, die den automatischen Update-Service genutzt haben. Eine gepatchte Version der Software ist jetzt verfügbar, kann von heruntergeladen werden. Es wird empfohlen, die gepatchte Version direkt vom verlinkten Server herunterzuladen, ohne die automatische Aktualisierungsfunktion zu nutzen - nur für den Fall der Fälle.