När en uppdatering blir ett vapen – supply chain-attacken mot Notepad++

Du klickar på ”Uppdatera” i ett program du använt i åratal. Något man gör slentrianmässigt, utan att fundera. Samma program, samma källa, samma rutin som alltid. Men den här gången är det inte utvecklarna som skickar uppdateringen. Det är en statlig hackergrupp som i ett halvår väntat på precis rätt tillfälle.

Det låter som science fiction, men det är exakt vad som hände med Notepad++, en av världens mest använda textredigerare bland utvecklare och IT-personal. Incidenten visar något som många organisationer fortfarande underskattar, att även de du litar på kan vara ett hot, fast de inte ens är medvetna om det.

Vad är en supply chain-attack?

En supply chain-attack – eller leverantörskedjeattack – innebär att angripare inte riktar sig direkt mot ditt företag. Istället attackerar de någon i kedjan som du förlitar dig på, till exempel en mjukvaruleverantör eller infrastrukturen bakom en tjänst ni använder. Du drabbas alltså inte för att du gjort något fel. Du drabbas för att någon du litar på har komprometterats.

Ett enkelt sätt att förstå principen är att tänka på en förseglad medicinförpackning. Vi skulle aldrig ifrågasätta en ask Panodil vi köper över disk. Men om någon lyckas byta ut innehållet innan den når apotekshyllan ser allt fortfarande legitimt ut – trots att innehållet inte är vad det utger sig för att vara. Och det är just denna mekanism som gör supply chain-attacker så effektiva. Vi har sällan garden uppe mot någon vi litar på.

Så gick attacken till

I februari 2026 bekräftade Notepad++ att deras uppdateringsinfrastruktur hade varit komprometterad i nästan ett halvår – från juni till december 2025. Det anmärkningsvärda är att själva programkoden aldrig manipulerades. Angriparna behövde inte ta sig in i utvecklingsmiljön eller ändra något i källkoden. Istället tog de kontroll över webbhotellet som drev uppdateringsservern.

Från den positionen kunde de styra om trafiken. När vissa användare kontrollerade om en uppdatering fanns tillgänglig fick de istället en skadlig fil – förpackad som en helt vanlig programuppgradering. Allt såg legitimt ut. Signaturerna var intakta och uppdateringsprocessen fungerade precis som vanligt. Skillnaden var att innehållet i vissa fall hade bytts ut.
Attacken blev dessutom långvarig. När webbhotellet senare genomförde en rutinmässig serveruppdatering i september förlorade angriparna sin direkta åtkomst, men de hade redan hunnit samla in inloggningsuppgifter. Med hjälp av dessa kunde de fortsätta styra om uppdateringstrafiken ända fram till december.

Alla attacker är inte snabba punktinsatser – i detta fall visade de som låg bakom upp en anmärkningsvärd uthållighet.

En attack med kirurgisk precision

Till skillnad från många cyberattacker var detta ingen bred kampanj som riktade sig mot alla potentiella mål. De allra flesta som uppdaterade Notepad++ under perioden fick helt legitima filer, bara ett fåtal noggrant utvalda mål fick den manipulerade uppdateringen. Framför allt handlade det om organisationer inom telekom och finans, främst i Östasien men även i USA och Europa.

Angriparna bytte dessutom metod ungefär en gång i månaden. Nya servrar, nya skadliga filer och nya sätt att fortsätta attacken över tid. Säkerhetsföretaget Kaspersky beskrev attacken som ovanligt sofistikerad – varje månad såg infektionskedjan annorlunda ut.

Flera säkerhetsföretag, bland annat Rapid7 och Palo Alto Networks, kopplar attacken till Lotus Blossom, en kinesisk statsstödd hackergrupp som varit aktiv sedan 2009.

Varför just Notepad++?

Notepad++ är ett gratisverktyg, men det används av miljontals utvecklare, systemadministratörer och nätverkstekniker världen över. Just därför är det ett strategiskt intressant mål. Om angripare lyckas kompromettera denna typ av verktyg kan de ta sig in i känsliga miljöer, långt innanför organisationens säkerhetssystem. De behöver inte ta sig igenom brandväggar eller knäcka lösenord. Användaren installerar själv uppdateringen utan att vara medveten om hotet.

Det är just detta som gör supply chain-attacker så farliga. Attacken utnyttjar inte en teknisk sårbarhet i ert system – den utnyttjar ert förtroende för en leverantör.

Ett mönster vi sett tidigare

Attacken mot Notepad++ är långt ifrån unik. Under de senaste åren har flera uppmärksammade cyberattacker byggt på samma princip. SolarWinds 2020, CCleaner 2017 och ASUS ShadowHammer 2019 är alla exempel där angripare manipulerade uppdateringar från betrodda programvaruleverantörer.

Det skrämmande med just detta fall är att angriparna lyckades med attacken utan att kompromettera själva mjukvaran. De behövde aldrig komma åt källkoden eller bryta en digital signatur. Det räckte med att ta kontroll över infrastrukturen som levererade uppdateringarna.

Vad kan man göra?

Den här typen av attacker kan lätt skapa en känsla av maktlöshet. Om man inte ens kan lita på uppdateringar från en mjukvara man arbetat med i flera år – vad kan man då lita på?

Men det finns fortfarande mycket man kan göra för att minska riskerna. En viktig del är att ha övervakning som upptäcker när något beter sig annorlunda än normalt i IT-miljön. Om ett välkänt program plötsligt börjar kommunicera med okända servrar ska det väcka uppmärksamhet. Det handlar också om att ha kontroll över vilken mjukvara som används i organisationen och hur den uppdateras. Och att inte automatiskt anta att ”känd och betrodd” alltid betyder säker.

Efter incidenten har Notepad++ infört striktare kontroller i uppdateringsprocessen, bland annat bättre verifiering av certifikat och signaturer. Men som så ofta inom cybersäkerhet kom åtgärderna först efter att attacken upptäckts och skadan var skedd.