Notepad++-ontwikkelaar Don Ho bevestigde dat hackers in 2025 het updatemechanisme van de software gedurende enkele maanden hebben gekaapt. De aanval vond plaats tussen juni en december 2025 en Ho schreef deze toe aan hackers die banden hadden met de Chinese overheid. Hij citeerde analyses van beveiligingsexperts die de payloads en aanvalspatronen van malware onderzochten, en merkte op dat dit de zeer selectieve targeting tijdens de campagne verklaarde.
Rapid7 onderzoekde het incident en identificeerde de dreigingsactoren als Lotus Blossom, een langlopende spionagegroep die banden heeft met China. De groep richt zich op de sectoren overheid, telecom, luchtvaart, kritieke infrastructuur en media. Notepad++ is een populaire open-source teksteditor met meer dan twintig jaar geschiedenis en tientallen miljoenen downloads wereldwijd, ook door medewerkers van organisaties over de hele wereld.
Beveiligingsonderzoeker Kevin Beaumont ontdekte de cyberaanval voor het eerst in december 2025. Hij meldde dat hackers een klein aantal organisaties met belangen in Oost-Azië in gevaar brachten nadat gebruikers een besmette versie van de software hadden geïnstalleerd. Beaumont verklaarde dat de aanvallers “hands-on” toegang kregen tot de computers van de slachtoffers waarop de gekaapte Notepad++ updates draaiden.
Ho heeft het aanvalsmechanisme gedetailleerd beschreven in een blogpost die maandag werd gepubliceerd. De website van Notepad++ werd gehost op een gedeelde server. Aanvallers richtten zich specifiek op het webdomein en maakten gebruik van een softwarefout om sommige gebruikers om te leiden naar een kwaadaardige server die door de hackers werd beheerd. Hierdoor konden kwaadaardige updates worden afgeleverd aan gebruikers die om software-updates vroegen. De omleiding ging door totdat Ho de bug in november 2025 repareerde, waardoor de toegang van de hackers begin december 2025 werd beëindigd.
Ho deelde logboeken waaruit bleek dat de aanvallers probeerden het opgeloste beveiligingslek opnieuw te misbruiken, maar deze pogingen mislukten na de patch. In een e-mail aan TechCrunch zei Ho dat zijn hostingprovider bevestigde dat de gedeelde server gecompromitteerd was, maar niet onthulde hoe de eerste inbreuk plaatsvond.
Ho verontschuldigde zich voor het incident en drong er bij gebruikers op aan om de nieuwste versie van Notepad++ te downloaden, inclusief de bugfix.
De Notepad++-cyberaanval lijkt op de SolarWinds-inbreuk uit 2019-2020. Russische overheidsspionnen hebben de servers van SolarWinds gehackt en een achterdeur geplaatst in software-updates voor IT- en netwerkbeheertools die worden gebruikt door Fortune 500-organisaties, waaronder Amerikaanse overheidsdepartementen. Het compromis had gevolgen voor instanties als Binnenlandse Veiligheid en de ministeries van Handel, Energie, Justitie en Staat. Nadat klanten de besmette updates hadden geïnstalleerd, gaven Russische spionnen via de achterdeur toegang tot netwerken.
