- Hackers vinculados ao governo chinês teriam sequestrado a infraestrutura de atualização do Notepad++, interceptado o tráfego de updates e redirecionado usuários selecionados para servidores maliciosos.
- O ataque começou em junho, com uma violação de infraestrutura; o Notepad++ só retomou o controle em dezembro.
- Os invasores instalaram uma backdoor inédita, chamada Chrysalis, descrita como sofisticada e de uso permanente.
- Três organizações relataram incidentes em que dispositivos com Notepad++ tiveram intervenção direta de hackers, explorando falhas de verificação de atualização em versões antigas do programa.
- Recomendações: usar oficialmente a versão 8.8.8 ou superior (agora 8.9.1+); organizações podem bloquear o domínio do Notepad++ ou o processo gup.exe para evitar atualizações, conforme capacidade de monitoramento.
Notepad++ informou que hackers apoiados por um Estado chinês invadiram a infraestrutura de atualização do projeto para entregar uma versão adulterada do editor de código e bloco de notas para Windows. O ataque começou em junho, com uma intrusão que permitiu interceptar e redirecionar o tráfego de atualização destinado ao site notepad-plus-plus.org. A equipe só retomou o controle em dezembro.
A campanha utilizou o acesso comprometido para instalar uma backdoor inédita, chamada Chrysalis, descrita pela Rapid7 como uma ferramenta sob medida, com várias funções. Pesquisadores da empresa destacaram que a ameaça é sofisticada e pode representar um recurso permanente, não apenas utilitário temporário.
Segundo Notepad++, a infraestrutura de hospedagem analisada com assistentes de resposta a incidentes permaneceu comprometida até 2 de setembro. Mesmo após essa data, credenciais internas permaneceram ativas até 2 de dezembro, permitindo que parte do tráfego de atualização fosse redirecionado para servidores maliciosos. O objetivo era explorar falhas de verificação de atualização em versões antigas.
Contexto e impactos
Pesquisadores independentes relataram incidentes em redes de três organizações cujos dispositivos com Notepad++ foram afetados, com relatos de controle direto por meio de interfaces web. As organizações teriam interesses na região East Asia, segundo Kevin Beaumont.
Beaumont apontou que a versão 8.8.8, lançada em novembro, incluía correções para dificultar o hijacking do updater. O problema envolve o updater próprio do Notepad++, conhecido como GUP ou WinGUP, que verifica e baixa atualizações. Técnicos alertam que tráfego de atualização pode não ser totalmente verificado.
O relato também indica que, apesar de as atualizações serem assinadas, versões anteriores utilizavam certificados raiz autoassinados, o que fragiliza a checagem. A recomendação é confirmar a versão instalada, mantendo-a na 8.8.8 ou superior, com orientação de que 8.9.1 ou superior seja adotada.
Orientações e próximos passos
Especialistas sugerem que grandes organizações bloqueiem o domínio notepad-plus-plus.org ou isolem o processo gup.exe da internet, além de restringir acesso à notepad++.exe caso haja monitoramento robusto de extensões. Para usuários, a orientação é verificar que a versão oficial esteja instalada diretamente pelo site do projeto.
Quem busca verificar se houve alvo específico pode consultar os indicadores de comprometimento associados ao relato da Rapid7. Notepad++ permanece como alternativa popular ao editor padrão do Windows, diante do cenário de atualizações comprometidas e da evolução de medidas de segurança em software de código aberto.
Este texto foi baseado em reportagens de Ars Technica e análises da Rapid7 sobre o incidente.
Entre na conversa da comunidade