- Hackers ligados ao governo chinês comprometeram a infraestrutura de atualização do Notepad++ e redirecionaram usuários para servidores maliciosos, entregando atualizações com backdoor.
- O ataque começou em junho, com uma violação de infraestrutura que interceptou o tráfego de atualização destinado ao site notepad-plus-plus.org; o Notepad++ só retomou o controle em dezembro.
- Foi usada uma payload inédita chamada Chrysalis, descrita como backdoor sofisticada e permanente pelos especialistas.
- Três organizações relataram incidentes de segurança em dispositivos com Notepad++ instalados, com hackers tendo controle direto através de interface web.
- Recomenda-se usar a versão oficial 8.8.8 ou superior instalada manualmente, e 8.9.1 ou superior; grandes organizações podem bloquear o domínio ou o processo gup.exe, conforme avaliação de risco.
Notepad++ sofreu um ataque em cadeia por meio da infraestrutura de atualização. Hackers com suposta ligação a atores ligados ao governo chinês interceptaram o tráfego de atualização e redirecionaram usuários selecionados para servidores maliciosos, entregando uma versão com backdoor. A empresa informou que recuperou o controle da infraestrutura em dezembro, após o ataque ter começado em junho.
A ação visou explorar falhas de verificação de atualização em versões antigas. O grupo conseguiu manter credenciais internas até dezembro, mantendo a possibilidade de desviar atualizações para servidores maliciosos. Investigações apontam que o objetivo era explorar vulnerabilidades de verificação em versões desatualizadas do Notepad++.
A atualização comprometida introduziu um payload até então inédito, batizado de Chrysalis, descrito por empresas de segurança como uma backdoor complexa e com múltiplas funções. Pesquisadores destacaram que a ferramenta parece ser persistente, não apenas uma utilidade temporária.
A Notepad++ informou que o fornecedor que hospeda a infraestrutura trabalhou com equipes de resposta a incidentes para confirmar o comprometimento, que permaneceu ativo em setembro e que as credenciais internas permaneceram ativas até dezembro. O objetivo específico foi explorar uma vulnerabilidade de atualização.
Três organizações relatadas por pesquisadores indicaram ter incidentes de segurança envolvendo dispositivos com Notepad++ instalado, com interrupções causadas pela exploração remota por meio de uma interface web. Os casos foram vinculados a interesses na região da East Asia, segundo as informações.
Especialistas apontam que a vulnerabilidade estava ligada ao sistema de atualização, conhecido como GUP ou WinGUP. Logs de eventos indicam tentativas de reexploração de falhas após correções, mas sem sucesso. A análise indica falhas de verificação que permitiam redirecionamento de downloads.
Para evitar riscos, pesquisadores recomendam que usuários atualizem para versões 8.8.8 ou superiores e, se possível, façam a instalação manual a partir do site oficial. Organizações grandes devem considerar bloquear o domínio do Notepad++ ou restringir o acesso do processo gup.exe à internet.
Quem quiser verificar se houve comprometimento pode consultar os indicadores de comprometimento disponibilizados pela equipe de segurança. O Notepad++ continua a orientar a atualização para versões 8.9.1 ou superiores para reduzir vulnerabilidades.
O ataque ganhou notoriedade após reportagens de veículos de tecnologia, com o Ars Technica reproduzindo a investigação original. As autoridades apontam que o incidente reforça a importância de verificação de atualizações em projetos de código aberto.
Entre na conversa da comunidade