Notepad++ Hackeado: Ataque Direcionado por Atores Estatais Comprometeu Atualizações

O popular editor de texto Notepad++ foi vítima de um ataque cibernético complexo, onde invasores patrocinados por estados comprometeram o mecanismo de atualização do software. O incidente, revelado pelo desenvolvedor Don Ho, redirecionou o tráfego de atualização para servidores maliciosos, colocando em risco a segurança dos usuários.

Como Ocorreu o Ataque?

De acordo com Ho, a invasão não ocorreu devido a vulnerabilidades no código do Notepad++ em si, mas sim a um comprometimento em nível de infraestrutura no provedor de hospedagem. “O ataque envolveu um comprometimento em nível de infraestrutura que permitiu que agentes maliciosos interceptassem e redirecionassem o tráfego de atualização destinado ao notepad-plus-plus.org”, explicou o desenvolvedor.

A investigação sobre o método exato utilizado pelos atacantes ainda está em andamento. No entanto, o incidente segue-se a uma atualização anterior (versão 8.8.9) que visava corrigir um problema que, ocasionalmente, redirecionava o tráfego do WinGUp (o atualizador do Notepad++) para domínios maliciosos, resultando no download de executáveis comprometidos.

Ataque Altamente Direcionado

Acredita-se que o redirecionamento tenha sido altamente direcionado, afetando apenas um grupo específico de usuários. Os invasores interceptavam o tráfego de rede entre o cliente atualizador e o servidor de atualização, substituindo o arquivo legítimo por um binário malicioso. O ataque começou em junho de 2025 e permaneceu despercebido por mais de seis meses.

Identificação dos Atores por Trás do Ataque

O pesquisador de segurança independente Kevin Beaumont identificou o grupo de ameaças como Violet Typhoon (também conhecido como APT31), um ator estatal chinês. O grupo tem como alvo organizações de telecomunicações e serviços financeiros na Ásia Oriental, utilizando o ataque para comprometer redes e distribuir malware.

Medidas de Segurança Implementadas

Em resposta ao incidente, a equipe do Notepad++ migrou o site para um novo provedor de hospedagem com práticas de segurança significativamente mais robustas. Além disso, o processo de atualização foi reforçado com novas medidas de segurança para garantir sua integridade.

O antigo provedor de hospedagem informou que o servidor compartilhado permaneceu comprometido até 2 de setembro de 2025. Mesmo após a perda do acesso ao servidor, os invasores mantiveram credenciais para serviços internos até 2 de dezembro de 2025, permitindo que continuassem a redirecionar o tráfego de atualização.

Como se Proteger

Embora a equipe do Notepad++ tenha tomado medidas para mitigar o ataque, é importante que os usuários adotem práticas de segurança recomendadas:

• Verifique sempre a autenticidade das atualizações antes de instalá-las.
• Utilize um software antivírus e mantenha-o atualizado.
• Tenha cuidado ao clicar em links ou baixar arquivos de fontes desconhecidas.
• Considere o uso de um firewall para proteger sua rede.

Para mais informações sobre segurança cibernética e como proteger seus dados, consulte recursos como o Cloudflare e o Kaspersky.