O desenvolvedor Don Ho, associado ao popular editor de texto Notepad++, revelou detalhes preocupantes sobre a segurança do aplicativo. Durante vários meses, um grupo de hackers comprometeu o sistema de atualização do Notepad++ para distribuir malwares a seus usuários. A ação dos cibercriminosos envolveu a manipulação da infraestrutura da ferramenta, permitindo-lhes interceptar o tráfego destinado ao site oficial notepad-plus-plus.org e, assim, redirecionar downloads para infectar computadores.
De acordo com Don Ho, a falha explorada pelos hackers não estava no código do próprio Notepad++, mas sim no provedor de hospedagem que suporta o serviço de atualização do programa. Enquanto o software em si permanecia seguro, o problema de segurança foi detectado no serviço de hospedagem, desencadeando uma investigação de amplitude para garantir que nenhum outro serviço foi comprometido. O problema foi comunicado um mês após o lançamento da versão 8.8.9 do aplicativo, que foi desenvolvida para abordar e corrigir essa falha crítica.
O incidente girou em torno do WinGUp, sistema utilizado para realizar as atualizações do Notepad++. Este sistema de programação foi redirecionado para domínios maliciosos, mesmo possuindo mecanismos próprios para verificar a integridade e autenticidade dos arquivos baixados. Ao interceptar o tráfego de atualização, os hackers conseguiam adulterar o processo e fazer o aplicativo baixar arquivos binários maliciosos em vez dos arquivos oficiais.
As investigações sugerem que os ataques, que possivelmente começaram em junho de 2025, tiveram como alvo especificamente usuários valiosos do Notepad++. Esta ação, que passou despercebida por cerca de seis meses, foi atribuída por investigadores a um grupo de hackers chineses, supostamente ligado ao governo do país, conforme apontado pelo pesquisador de segurança Kevin Beaumont. O comprometimento direto da infraestrutura do Notepad++ se estendeu até 2 de setembro de 2025, mas indicativos mostram que os hackers mantiveram acesso a credenciais dos serviços internos até 2 de dezembro de 2025, o que lhes permitiu continuar redirecionando usuários para downloads de malwares.
