Hvor mange programmer på dine medarbejderes computere opdaterer sig selv lige nu, uden at nogen tjekker, hvad de henter?
For Notepad++ brugere var svaret i seks måneder: Malware.
Opdateringskanalen var kapret
Notepad++ er en af verdens mest udbredte teksteditorer. Ikke kun for udviklere. Mange kontormedarbejdere bruger den dagligt som erstatning for Windows Notepad til at åbne logfiler, CSV-filer og konfigurationer.
I dag offentliggjorde udvikleren bag programmet, at statssponsorerede hackere havde kapret den officielle opdateringskanal.
Ikke via en sårbarhed i selve programmet, men ved at bryde ind hos hostingudbyderen og omdirigere opdateringstrafik til ondsindede servere.
Seks måneder uden opdagelse
Angrebet begyndte i juni 2025. Udvalgte brugere, der opdaterede Notepad++, fik i stedet installeret malware, der kortlagde netværk, systemer og brugere og sendte oplysningerne videre.
Hostingudbyderen lukkede den direkte adgang i september, men angriberne beholdt loginoplysninger til interne tjenester i yderligere tre måneder.
Først i december 2025 blev al adgang endeligt lukket.
Seks måneder. Uden at nogen opdagede det.
Enhver opdatering er en åben dør
Og det er præcis det, der gør denne sag relevant for enhver virksomhed.
Tænk over, hvor mange programmer på jeres computere der jævnligt kontakter en server for at hente opdateringer. Browsere, PDF-læsere, videokonferenceværktøjer, drivere, plugins.
Hver eneste af dem er en potentiel åben dør, hvis den server, de kontakter, bliver kompromitteret.
Brugeren ser intet. Firewallen ser legitim trafik. Og malwaren ankommer forklædt som en godkendt opdatering.
Supply chain er den tredjestørste trussel
Ifølge Styrelsen for Samfundssikkerhed er cyberspionagetruslen mod Danmark vurderet som MEGET HØJ, og supply chain-angreb, hvor malware skjules i legitime softwareopdateringer, er eksplicit beskrevet som en aktuel angrebsmetode.
OWASP’s Top 10 for 2025 placerer Software Supply Chain Failures som nummer tre på listen. Halvdelen af alle adspurgte sikkerhedseksperter rangerede det som deres største bekymring.
De 50 programmer I ikke kontrollerer
De fleste virksomheder har styr på Windows Updates. Men hvad med de 20, 30, måske 50 andre programmer, der kører deres egne opdateringer uden om jeres kontrol?
Notepad++. 7-Zip. WinRAR. Zoom. Slack. Adobe Reader. VLC. Hver med sin egen opdateringsmekanisme. Hver med sin egen tillidsrelation til en ekstern server.
Hvis bare én af de servere kompromitteres, har I malware på jeres maskiner, leveret via en kanal, I stolede på.
Tre ting du bør gøre nu
Kortlæg al software, der opdaterer automatisk. Brug jeres endpoint-løsning eller en softwareoversigt til at identificere programmer, der kontakter eksterne servere. I kan ikke beskytte det, I ikke kender til.
Indfør central styring af softwareopdateringer. Opdateringer bør testes og godkendes, inden de rulles ud. Automatisk opdatering er bekvemt, men det er også en tillidsrelation til en server, I ikke kontrollerer.
Verificér at jeres sikkerhedsløsning opdager unormal adfærd fra ellers legitime programmer. Notepad++ malwaren kortlagde netværk og sendte data ud af huset. Det er præcis den type aktivitet, en god endpoint-løsning bør fange, uanset om kilden ser legitim ud.
Få overblik over jeres softwarerisiko
En teknisk sikkerhedsgennemgang kortlægger al software på jeres systemer, inklusiv de programmer, der opdaterer automatisk, og vurderer, om jeres endpoint-løsning ville opdage malware leveret via en kompromitteret opdateringskanal.
En penetrationstest afslører, om en angriber kan udnytte jeres tillid til automatiske opdateringer til at få adgang til jeres netværk.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de supply chain-risici, der gemmer sig i software, I bruger hver dag.
Hvor mange programmer på jeres computere opdaterer sig selv lige nu, uden at nogen tjekker, hvad de henter?
Har du brug for at kortlægge jeres softwarerisiko? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
