O Notepad++, um editor de texto popular entre programadores e profissionais de tecnologia, foi alvo de um ataque cibernético sofisticado que durou seis meses. Entre junho e dezembro de 2025, hackers patrocinados pelo governo chinês conseguiram sequestrar o mecanismo de atualização do software para distribuir malware a alvos específicos.
O ataque envolveu comprometimento no nível da infraestrutura que permitiu que agentes maliciosos interceptassem e redirecionassem o tráfego de atualização destinado ao site notepad-plus-plus[.]org.
smart_display
Nossos vídeos em destaque
Don Ho, criador e mantenedor do Notepad++, revelou detalhes completos do incidente nesta segunda-feira. As informações foram compartilhadas após uma investigação realizada em colaboração com especialistas externos de segurança, e o provedor de hospedagem compartilhada que era utilizado na época.
Ataque altamente direcionado
O comprometimento ocorreu no nível do provedor de hospedagem, e não por meio de vulnerabilidades no código do Notepad++ em si. Os invasores conseguiram acesso ao servidor de hospedagem compartilhada e, a partir daí, estabeleceram capacidade de redirecionar seletivamente o tráfego de atualização de determinados usuários-alvo para servidores controlados por eles.
Em vez de comprometer todos os usuários do Notepad++ de uma só vez, o que seria rapidamente detectado, os hackers escolheram alvos específicos.
O tráfego originado apenas de determinados usuários era encaminhado para servidores maliciosos que entregavam componentes disfarçados de atualizações legítimas, enquanto outros usuários continuavam recebendo atualizações genuínas normalmente.
Múltiplos pesquisadores de segurança independentes avaliaram que o autor da ameaça é provavelmente um grupo patrocinado pelo Estado chinês, identificado como Violet Typhoon, também conhecido como APT31. Esse grupo teve como alvo principalmente organizações de telecomunicações e serviços financeiros no Leste Asiático.
Como o ataque foi descoberto
O pesquisador de segurança Kevin Beaumont foi quem primeiro relatou, no início de dezembro de 2025, que algumas organizações usando o Notepad++ estavam sendo alvo de atualizações maliciosas de software.
Segundo Beaumont, hackers ligados à China haviam explorado o Notepad++ para obter acesso inicial aos sistemas de empresas de telecomunicações e serviços financeiros no Leste Asiático.
A descoberta levou Don Ho a lançar rapidamente a versão 8.8.9 do Notepad++ para resolver um problema que resultava no tráfego do WinGUp, o atualizador do Notepad++, sendo ocasionalmente redirecionado para domínios maliciosos.
Especificamente, o problema decorria da forma como o atualizador verificava a integridade e a autenticidade do arquivo de atualização baixado, permitindo que um invasor capaz de interceptar o tráfego de rede entre o cliente do atualizador e o servidor de atualização enganasse a ferramenta para baixar um binário diferente.
Linha do tempo do comprometimento
De acordo com a declaração detalhada fornecida pelo provedor de hospedagem, o servidor compartilhado onde o Notepad++ estava hospedado ficou comprometido até 2 de setembro de 2025.
Nesta data, o servidor passou por uma manutenção programada onde o kernel e o firmware foram atualizados. Após essa atualização, os padrões suspeitos nos logs desapareceram, indicando que os atacantes perderam o acesso direto ao servidor.
Mesmo tendo perdido acesso direto ao servidor após 2 de setembro, os atacantes ainda mantinham credenciais de acesso aos serviços internos do provedor que haviam capturado durante o período inicial de comprometimento.
Com essas credenciais, mesmo sem controlar o servidor diretamente, eles conseguiram continuar redirecionando parte do tráfego destinado ao endereço de atualização do Notepad++ para seus próprios servidores maliciosos até 2 de dezembro de 2025.
O provedor de hospedagem confirmou que não encontrou evidências de que outros clientes no servidor compartilhado tenham sido visados.
Os invasores procuraram especificamente pelo domínio notepad-plus-plus.org com o objetivo de interceptar o tráfego, demonstrando conhecimento prévio das vulnerabilidades existentes no sistema de verificação de atualizações do Notepad++.
Medidas de correção implementadas
Para resolver definitivamente o problema, Don Ho tomou várias medidas concretas. Primeiro, migrou todo o site do Notepad++ para um novo provedor de hospedagem com práticas de segurança significativamente mais rigorosas.
Em seguida, aprimorou o WinGUp na versão 8.8.9 para verificar tanto o certificado digital quanto a assinatura do instalador baixado. Certificados digitais e assinaturas são mecanismos criptográficos que garantem que um arquivo realmente veio de quem afirma ter criado e que não foi alterado.
Além disso, o XML retornado pelo servidor de atualização agora é assinado usando XMLDSig, um padrão de assinatura digital para documentos XML. A verificação de certificado e assinatura será obrigatória a partir da próxima versão 8.9.2, prevista para ser lançada aproximadamente um mês após o anúncio.
Ataques à cadeia de suprimentos
Este incidente se enquadra em uma categoria de ataques conhecida como ataque à cadeia de suprimentos de software. Esse tipo de ataque não mira diretamente no programa que os usuários utilizam, mas sim na infraestrutura que distribui as atualizações desse programa.
Grupos patrocinados por Estados-nação, especialmente da China, Coreia do Norte e Rússia, têm demonstrado interesse crescente em comprometer cadeias de suprimentos de software como forma de obter acesso a organizações-alvo.
Em vez de tentar invadir diretamente as redes das organizações, os atacantes encontram pontos vulneráveis na cadeia de fornecimento e usam isso como vetor de entrada inicial.
Don Ho publicou detalhes completos da investigação e assumiuresponsabilidade pública pelo ocorrido, mesmo que tecnicamente a falha tenha sido no provedor de hospedagem.
“Peço profundas desculpas a todos os usuários afetados por este sequestro”, escreveu Ho no comunicado oficial. Ele encerrou dizendo acreditar que a situação foi completamente resolvida com todas as mudanças e reforços de segurança implementados, mas manteve uma humildade apropriada para alguém que acabou de lidar com um ataque de hackers patrocinados por um Estado.
Usuários do Notepad++ devem garantir que estão executando no mínimo a versão 8.8.9 do software, que inclui as correções de segurança críticas para o mecanismo de atualização.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.
Fonte ==> TecMundo
