O mantenedor do Notepad++ confirmou que hackers com ligação a um Estado-nação conseguiram comprometer o mecanismo oficial de atualização do editor de texto, redirecionando o tráfego de updates para servidores maliciosos. De acordo com Don Ho, desenvolvedor do projeto, o incidente não teve relação com falhas no código do aplicativo, mas sim com um comprometimento da infraestrutura do provedor de hospedagem responsável pelo site oficial do software.
Segundo Ho, os invasores exploraram vulnerabilidades no ambiente do provedor para interceptar comunicações destinadas ao domínio notepad-plus-plus.org. Com isso, arquivos maliciosos passaram a ser entregues no lugar das atualizações legítimas. Embora o método exato ainda esteja sob investigação, os indícios apontam para um ataque sofisticado à cadeia de suprimentos, com foco em alvos específicos.
O episódio veio à tona pouco mais de um mês após o lançamento da versão 8.8.9 do Notepad++, desenvolvida justamente para corrigir uma falha no WinGUp, o mecanismo de atualização da ferramenta. O problema permitia, em determinadas circunstâncias, o redirecionamento do tráfego de update para domínios maliciosos, resultando no download de executáveis adulterados. A vulnerabilidade estava relacionada à verificação inadequada de integridade e autenticidade dos arquivos baixados, o que possibilitava a substituição do binário legítimo por malware em casos de interceptação de tráfego.
As investigações indicam que o ataque foi altamente direcionado. Apenas usuários selecionados tiveram suas conexões desviadas para servidores controlados pelos hackers, onde componentes maliciosos eram distribuídos. A análise inicial aponta que a campanha teve início em junho de 2025 e permaneceu ativa por mais de seis meses antes de ser identificada.
O pesquisador independente Kevin Beaumont afirmou que a falha vinha sendo explorada por hackers localizados na China, com o objetivo de comprometer redes e induzir vítimas à instalação de malware. Como resposta ao incidente, o site oficial do Notepad++ foi migrado para um novo provedor de hospedagem. Segundo Ho, o servidor compartilhado anterior permaneceu comprometido até setembro de 2025 e, mesmo após a perda de acesso direto, os invasores mantiveram credenciais válidas em serviços internos até dezembro do mesmo ano, permitindo a continuidade dos redirecionamentos maliciosos.
