Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Possível ataque: usuários do Notepad++ podem ter sido hackeados pela China

Hackers ligados à China comprometeram infraestrutura de atualização do Notepad++ por meses, redirecionando usuários para versões com backdoor

Photo-Illustration: Techa Tungateja/Getty Images
0:00
Carregando...
0:00
  • Hackers vinculados ao governo chinês teriam sequestrado a infraestrutura de atualização do Notepad++, interceptado o tráfego de updates e redirecionado usuários selecionados para servidores maliciosos.
  • O ataque começou em junho, com uma violação de infraestrutura; o Notepad++ só retomou o controle em dezembro.
  • Os invasores instalaram uma backdoor inédita, chamada Chrysalis, descrita como sofisticada e de uso permanente.
  • Três organizações relataram incidentes em que dispositivos com Notepad++ tiveram intervenção direta de hackers, explorando falhas de verificação de atualização em versões antigas do programa.
  • Recomendações: usar oficialmente a versão 8.8.8 ou superior (agora 8.9.1+); organizações podem bloquear o domínio do Notepad++ ou o processo gup.exe para evitar atualizações, conforme capacidade de monitoramento.

Notepad++ informou que hackers apoiados por um Estado chinês invadiram a infraestrutura de atualização do projeto para entregar uma versão adulterada do editor de código e bloco de notas para Windows. O ataque começou em junho, com uma intrusão que permitiu interceptar e redirecionar o tráfego de atualização destinado ao site notepad-plus-plus.org. A equipe só retomou o controle em dezembro.

A campanha utilizou o acesso comprometido para instalar uma backdoor inédita, chamada Chrysalis, descrita pela Rapid7 como uma ferramenta sob medida, com várias funções. Pesquisadores da empresa destacaram que a ameaça é sofisticada e pode representar um recurso permanente, não apenas utilitário temporário.

Segundo Notepad++, a infraestrutura de hospedagem analisada com assistentes de resposta a incidentes permaneceu comprometida até 2 de setembro. Mesmo após essa data, credenciais internas permaneceram ativas até 2 de dezembro, permitindo que parte do tráfego de atualização fosse redirecionado para servidores maliciosos. O objetivo era explorar falhas de verificação de atualização em versões antigas.

Contexto e impactos

Pesquisadores independentes relataram incidentes em redes de três organizações cujos dispositivos com Notepad++ foram afetados, com relatos de controle direto por meio de interfaces web. As organizações teriam interesses na região East Asia, segundo Kevin Beaumont.

Beaumont apontou que a versão 8.8.8, lançada em novembro, incluía correções para dificultar o hijacking do updater. O problema envolve o updater próprio do Notepad++, conhecido como GUP ou WinGUP, que verifica e baixa atualizações. Técnicos alertam que tráfego de atualização pode não ser totalmente verificado.

O relato também indica que, apesar de as atualizações serem assinadas, versões anteriores utilizavam certificados raiz autoassinados, o que fragiliza a checagem. A recomendação é confirmar a versão instalada, mantendo-a na 8.8.8 ou superior, com orientação de que 8.9.1 ou superior seja adotada.

Orientações e próximos passos

Especialistas sugerem que grandes organizações bloqueiem o domínio notepad-plus-plus.org ou isolem o processo gup.exe da internet, além de restringir acesso à notepad++.exe caso haja monitoramento robusto de extensões. Para usuários, a orientação é verificar que a versão oficial esteja instalada diretamente pelo site do projeto.

Quem busca verificar se houve alvo específico pode consultar os indicadores de comprometimento associados ao relato da Rapid7. Notepad++ permanece como alternativa popular ao editor padrão do Windows, diante do cenário de atualizações comprometidas e da evolução de medidas de segurança em software de código aberto.

Este texto foi baseado em reportagens de Ars Technica e análises da Rapid7 sobre o incidente.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais