- Notepad++ alvo de ataque sofisticado no estilo da cadeia de suprimentos por meio de servidor de hospedagem comprometido
- Os invasores entregaram atualizações contaminadas para vítimas selecionadas, explorando controles fracos de verificação de atualizações
- A violação durou de junho a dezembro de 2025, provavelmente ligada a atores patrocinados pelo Estado chinês, levando à migração para uma nova hospedagem e à verificação reforçada de atualizações
O Notepad++ confirmou que foi vítima de um ataque cibernético altamente direcionado e sofisticado, provavelmente conduzido por um ator de ameaça patrocinado pelo Estado chinês.
Em um aviso de segurança publicado no site do projeto, a empresa explicou que os invasores conseguiram comprometer o servidor do provedor de hospedagem compartilhada e o usaram para entregar atualizações contaminadas a um punhado de vítimas cuidadosamente selecionadas.
“Descobrimos eventos suspeitos em nossos logs, que indicam que o servidor pode ter sido comprometido”, dizia o aviso, citando informações do provedor de hospedagem. “Com base em nossos registros, não vemos nenhum outro cliente hospedado neste servidor específico sendo alvo. Os malfeitores procuraram especificamente [Notepad++] domínio com o objetivo de interceptar o tráfego do seu site, pois eles podem conhecer as vulnerabilidades existentes do Notepad++ relacionadas a controles insuficientes de verificação de atualização.”
Ataque altamente direcionado e sofisticado
O desenvolvedor do projeto explicou que uma investigação externa também determinou que a violação ocorreu em junho de 2025, com os invasores mantendo o acesso até setembro de 2025, quando um patch os expulsou.
No entanto, como mantiveram as credenciais, foram autorizados a continuar com os ataques até o início de dezembro de 2025, quando uma rotação de senha finalmente interrompeu a intrusão.
Os ataques não envolveram de forma alguma o código do Notepad++. Em vez disso, eles usaram o acesso ao servidor para entregar patches corrompidos a alvos cuidadosamente escolhidos. De acordo com os investigadores, os agressores, provavelmente patrocinados pelo Estado chinês, envolveram-se em ataques “altamente seletivos”.
“Os invasores visaram especificamente o domínio do Notepad++ com o objetivo de explorar controles insuficientes de verificação de atualização que existiam em versões mais antigas do Notepad++”, diz o aviso. “Todas as correções e reforços de segurança foram concluídos pelo provedor até 2 de dezembro de 2025, bloqueando com sucesso outras atividades de invasores.”
Não se sabe qual grupo específico estava por trás deste ataque, nem quem era o alvo. No entanto, o Notepad++ migrou para um novo provedor de hospedagem e o próprio atualizador foi atualizado para v8.8.9 para verificar o certificado e a assinatura do instalador de download. Além disso, o XML retornado pelo servidor de atualização agora também está assinado, e a verificação de certificado e assinatura será aplicada a partir da próxima versão 8.9.2, prevista para cerca de um mês.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.