- Os servidores de hospedagem do Notepad++ foram comprometidos de junho a 2 de dezembro de 2025, permitindo que atualizações maliciosas fossem distribuídas a usuários selecionados.
- A executável malicioso podia conceder acesso remoto ao teclado dos usuários, quando desviava atualizações do site oficial para maliciosos.
- A ação foi descrita como de alta seleção de vítimas, com indícios de atuação de um grupo com possíveis vínculos com o Estado chinês.
- O desenvolvedor Don Ho informou que todo acesso do atacante foi encerrado em 2 de dezembro e que a atualização do próprio Notepad++ passou a incluir verificações de integridade mais rígidas.
- Recomenda-se manter a versão 8.8.9 ou superior, baixar diretamente do site oficial e ficar atento a versões não oficiais ou a arquivos suspeitos no TEMP, como update.exe.
O Notepad++ sofreu uma adulteração de atualizações entre junho e 2 de dezembro de 2025, quando os servidores de hospedagem compartilhada foram comprometidos. Usuários que baixaram atualizações não verificadas puderam instalar executáveis maliciosos.
O responsável pelo software, Don Ho, informou que o grupo por trás do ataque era provavelmente de origem estatal chinesa, atuando de forma seletiva contra alvos específicos. O ataque envolveu redirecionamento de tráfego para manifests maliciosos controlados pelos invasores.
Segundo a mensagem de Ho, o acesso dos atacantes foi contido apenas em servidores de terceiros e não no site oficial do Notepad++. A investigação também indicou que o uso de atualizações poderia conceder acesso remoto a teclados de máquinas comprometidas.
Medidas tomadas e orientações
A empresa lançou atualizações mais robustas de verificação de integridade para o disquete de atualização, visando evitar novas adulterações. O suporte recomenda que usuários atualizem para a versão 8.8.9 ou superior, obtida diretamente no site oficial, para mitigar vulnerabilidades.
Usuários devem confirmar que estão usando versões oficiais e monitorar atividades incomuns no executável de atualização gup.exe. Também é aconselhável verificar a presença de arquivos suspeitos no diretório TEMP, como update.exe ou AutoUpdater.exe, e evitar versões não oficiais.
O incidente indica que houve uma vigilância direcionada a organizações com interesses na região da East Asia, o que reforça a necessidade de checagem rigorosa de fontes de atualização. A equipe de Notepad++ continua apurando impactos e fortalecendo controles de segurança.
Entre na conversa da comunidade