Notepad++ é comprometido por hackers apoiados por um Estado

 (notepad-plus-plus.org)
2 pontos por GN⁺ 2026-02-03 | 1 comentários | Compartilhar no WhatsApp
  • Ocorreu um incidente de segurança em que o tráfego de atualização do site oficial do Notepad++ foi redirecionado para servidores dos atacantes
  • O ataque foi realizado por meio de um comprometimento no nível da infraestrutura do provedor de hospedagem, e não por uma vulnerabilidade no próprio código do Notepad++
  • O ataque durou de junho de 2025 até 2 de dezembro, e vários pesquisadores de segurança o atribuíram a um grupo de hackers apoiado pelo governo chinês
  • Os atacantes distribuíram atualizações maliciosas mirando versões antigas do Notepad++ com processo insuficiente de verificação de atualizações
  • Depois disso, a segurança foi reforçada com migração do site, fortalecimento da validação de certificados e assinaturas, e adoção de assinatura XML

Visão geral do incidente

  • Após o comunicado de segurança (anúncio da v8.8.9), a investigação foi conduzida em cooperação com especialistas externos e com o antigo provedor de hospedagem
  • A análise mostrou que os atacantes realizaram um comprometimento em nível de infraestrutura capaz de interceptar e redirecionar o tráfego de atualização destinado a notepad-plus-plus.org
  • O comprometimento ocorreu no servidor do provedor de hospedagem, e não no código do Notepad++
  • Apenas o tráfego de usuários específicos foi seletivamente redirecionado aos servidores dos atacantes para fornecer um manifesto de atualização malicioso

Período do ataque e autoria

  • O ataque começou em junho de 2025
  • Vários pesquisadores independentes de segurança o estimam como obra de um grupo de hackers apoiado pelo governo chinês
  • Uma característica do ataque foi ter sido executado de forma muito limitada e seletiva

Resultado da investigação do provedor de hospedagem

  • O provedor confirmou que o servidor esteve comprometido até 2 de setembro de 2025
    • Nessa data foram aplicadas atualizações de kernel e firmware, e depois disso padrões semelhantes desapareceram dos logs
  • Os atacantes mantiveram credenciais de serviços internos até 2 de dezembro, o que permitiu redirecionar parte do tráfego
  • A análise dos logs indicou que outros clientes não foram alvo, e apenas o domínio do Notepad++ foi visado
  • Após 2 de dezembro:
    • a correção das vulnerabilidades e a troca das credenciais foram concluídas
    • não houve sinais de comprometimento semelhante em outros servidores
  • Foi recomendado aos clientes alterar senhas de SSH, FTP/SFTP e MySQL, além de revisar contas de administrador do WordPress

Resumo (TL;DR)

  • O servidor de hospedagem compartilhada foi comprometido até 2 de setembro de 2025, e depois disso os atacantes mantiveram credenciais internas até 2 de dezembro
  • Os atacantes distribuíram atualizações maliciosas explorando falhas na validação de atualizações do Notepad++
  • Todas as medidas de reforço de segurança foram concluídas após 2 de dezembro, bloqueando novos ataques

Resposta e reforço de segurança

  • O site do Notepad++ foi migrado para um novo provedor de hospedagem com nível de segurança mais alto
  • A ferramenta interna de atualização do Notepad++, WinGup, desde a v8.8.9:
    • passou a incluir validação de certificado e assinatura dos arquivos de instalação baixados
    • aplica assinatura XMLDSig às respostas XML do servidor de atualização
    • a partir da v8.9.2, a validação de certificado e assinatura deverá ser obrigatória
  • Recomenda-se que os usuários façam a instalação manual da versão v8.9.1

Informações adicionais e limitações da investigação

  • Indicadores de comprometimento (Indicator of Compromise, IoC) não foram obtidos
    • Cerca de 400 GB de logs do servidor foram analisados, mas não há IoCs concretos como hashes binários, domínios ou IPs
    • Também foi solicitado IoC ao provedor de hospedagem, mas nada foi fornecido
  • Ivan Feigl, da Rapid7, compartilhou resultados de uma investigação separada e tem IoCs mais específicos

Conclusão

  • O ataque assumiu a forma de manipulação direcionada de atualizações por meio do comprometimento da infraestrutura de hospedagem
  • O problema foi resolvido com reforço de segurança e migração de servidor
  • No futuro, o Notepad++ pretende prevenir ataques semelhantes por meio do fortalecimento do sistema de validação de atualizações

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-03
Comentários do Hacker News

  • Acho que fico bem seguro contra esse tipo de problema graças ao meu hábito de firewall de bloquear acesso à internet quando o programa não precisa de verdade
    Não existe nenhum motivo para um editor de texto acessar a internet
    Faço atualizações só pelo winget e, na maioria das vezes, os instaladores vêm do GitHub. Pelo que sei, mudanças de pacote só podem ser feitas via PR. Não é perfeito, mas considero bem confiável

    • Em casos como verificação de atualização ou download de plugins, acho que acesso à internet é uma exceção aceitável
    • No macOS, o Little Snitch é muito útil. Ele avisa na hora a quais IPs ou domínios está tentando se conectar, e permite autorizar, bloquear e criar regras com facilidade
    • Fiquei curioso para saber qual software de firewall você usa. Estou pensando que eu também devia começar a usar um

  • Adiei as atualizações e ainda estou na versão 8.5.8, então fiquei pensando se, no fim das contas, isso acabou sendo mais seguro
    Queria que houvesse informações concretas sobre o que realmente aconteceu com quem recebeu a atualização infectada
    Seria útil haver uma ferramenta para verificar o checksum dos arquivos instalados do Notepad++
    Além disso, o comunicado tem tantos erros de digitação que até dá para suspeitar se não foi escrito por um hacker patrocinado por Estado. Será que a nova versão não poderia ser maliciosa também?

    • Isso me lembrou da época da faculdade, quando professores passavam trabalhos com bugs de propósito. Então eu sempre esperava outras pessoas testarem primeiro e dizerem que estava tudo bem
      Seria ótimo se existisse um sistema de web of trust em que amigos testassem a atualização primeiro e eu pudesse confiar no resultado
    • Não acho que a versão mais recente seja sempre a mais segura. Na ausência de vulnerabilidades conhecidas, uma versão antiga pode ser até mais estável
    • Segundo o site oficial do Notepad++, o incidente começou em junho de 2025
      As versões 8.8.1 ou anteriores são consideradas seguras. Os checksums SHA256 de cada versão estão publicados no GitHub
    • Versão antiga nem sempre é algo ruim. Às vezes a atualização até piora a qualidade
      É mais importante revisar o código diretamente do que simplesmente deixar a atualização automática ligada
    • Deixo a atualização automática desativada em apps que não se conectam diretamente à internet (exceto e-mail, navegador, sistema operacional etc.)
      Acho muito mais provável que um app aleatório seja infectado por uma atualização maliciosa. Só atualizo manualmente de vez em quando

  • Escapei desse ataque graças ao Chocolatey
    O mantenedor deixou o checksum SHA256 hardcoded e não usa o WinGuP de jeito nenhum

  • É em situações assim que aparece a vantagem dos gerenciadores de pacotes
    Como não dá para saber se o servidor de atualização é vulnerável ou se há verificação de checksum, não confio em atualizadores próprios
    Em vez disso, gerencio com choco update notepadplusplus ou winget upgrade Notepad++.Notepad++

  • Provavelmente esse caso tem relação com o comunicado do Notepad++ sobre Taiwan

    • O Notepad++ já vem incluindo mensagens políticas nas atualizações há bastante tempo. Já assumiu posições sobre Taiwan, Ucrânia e outros temas
    • Também houve a Free Uyghur Edition no passado. Lembro que os issues do GitHub ficaram cheios de mensagens em chinês naquela época
    • Esse ataque parece ter mirado um grupo específico de usuários, não o desenvolvedor
    • Não acho adequado colocar discussões políticas na documentação de um projeto open source. É um direito do autor, mas também pode prejudicar o projeto
    • Acho problemático o continente chinês querer incorporar Taiwan à força
      Mas também acho que software deve ficar separado da política. Mesmo concordando com o objetivo político, misturar isso ao código é desnecessário

  • Ferramentas de uso geral mantidas por equipes pequenas sempre me preocupam
    Mesmo que só parte das instalações seja hackeada, um ataque à cadeia de suprimentos pode colocar inúmeras empresas em risco

    • Se eu usasse macOS, acharia indispensável usar Little Snitch
      Também dá para analisar o tráfego diretamente com ferramentas como Wireshark ou Burp Suite
      Esse tipo de firewall também é possível no Windows e no Linux
    • Recursos de atualização automática são inseguros do ponto de vista de segurança. Implementar isso direito exige muito esforço de engenharia, e a maioria das empresas não faz esse trabalho
    • Empresas grandes também não são imunes a esse tipo de ataque. Se vacilarem, caem do mesmo jeito

  • Disseram que o tráfego de certos usuários foi redirecionado para servidores dos atacantes, que então entregaram um manifesto de atualização malicioso
    Fico curioso sobre que tipo de usuário foi alvo, mas o texto só menciona a suspeita de hackers apoiados pelo governo chinês

    • Imagino que os principais alvos tenham sido IPs de universidades, empresas e órgãos governamentais
    • Também é possível que o processo de validação de atualização em algumas versões antigas do Notepad++ fosse fraco, tornando apenas certos usuários vulneráveis
    • Não faço ideia de quem hackeou o servidor. No fim, quando jogam na conta de um “ator estatal”, ninguém verifica nada

  • Fico curioso sobre como exatamente os sistemas-alvo foram comprometidos

    • Há mais detalhes no artigo da Heise e na análise da DoublePulsar
      Versões anteriores à 8.8.7 usavam um certificado autoassinado, e a chave estava exposta no GitHub
      O ataque foi uma intrusão manual direcionada apenas a alguns usuários na Ásia
      Em vez de culpar só a empresa de hospedagem, acho que o desenvolvedor também tem responsabilidade
    • Ataques à cadeia de suprimentos são realmente assustadores. Eu também costumo abrir arquivos sensíveis no Notepad++, então fico preocupado se algo vazou
    • É bem provável que tenham tentado instalar um backdoor e fazer vigilância ou roubo de dados por meio da atualização
    • Ainda não está claro quem foi alvo. O comunicado oficial é vago demais

  • No fim, fica a pergunta: “Então o que eu devo fazer com o Notepad++?”

    • Se você usou um gerenciador de pacotes, é bem provável que não tenha sido afetado por esse ataque. Ainda assim, se o próprio instalador estiver infectado, o risco continua
    • Como alternativa, recomendo o Kate, do KDE. Dá para instalar via Chocolatey
    • Pessoalmente, acho o Gedit outra boa opção subestimada

  • Eu desligo a verificação de atualizações assim que instalo um software novo
    Mesmo que esse tipo de ataque seja raro, acho que as solicitações de atualização expõem a impressão digital e a localização do meu computador

    • Isso realmente me intriga. Vulnerabilidades de execução remota de código acabam existindo quando “se permite que o software baixe e execute código remotamente”
    • Claro, se o nível de vigilância for algo como o Room 641A, fica difícil evitar totalmente por mais cuidadoso que você seja
      O importante é fazer modelagem de ameaças para manter a segurança em um nível realista
    • Nesse caso, fica também a questão inversa: como administrar a exposição a vulnerabilidades causada por não atualizar?