O desenvolvedor do well-liked editor de texto de código aberto Notepad++ confirmou que hackers sequestraram o software program para fornecer atualizações maliciosas aos usuários ao longo de vários meses em 2025.
Em um postagem no blog publicado na segunda-feira, o desenvolvedor do Notepad ++, Don Ho, disse que o ataque cibernético provavelmente foi realizado por hackers associados ao governo chinês entre junho e dezembro de 2025, citando várias análises de especialistas em segurança que examinaram as cargas de malware e os padrões de ataque. Ho disse que isso “explicaria a segmentação altamente seletiva” observada durante a campanha.
Rapid7, que investigou o incidenteatribuiu o hacking ao Lotus Blossom, um grupo de espionagem de longa information conhecido por trabalhar para a China, e disse que os hacks tiveram como alvo os setores governamental, de telecomunicações, de aviação, de infraestrutura crítica e de mídia.
O Notepad++ é um dos projetos de código aberto mais antigos, abrangendo mais de duas décadas, e conta com pelo menos dezenas de milhões de downloads até o momento, inclusive por funcionários de organizações em todo o mundo.
De acordo com Kevin Beaumont, pesquisador de segurança que descobriu o ataque cibernético pela primeira vez e escreveu suas descobertas em dezembro, os hackers comprometeram um pequeno número de organizações “com interesses no Leste Asiático” depois de alguém ter usado involuntariamente uma versão contaminada do well-liked software program. Beaumont disse que os hackers conseguiram obter acesso “prático” aos computadores das vítimas que executavam versões sequestradas do Notepad++.
Ho disse que o “mecanismo técnico exato” de como os hackers invadiram seus servidores permanece sob investigação, mas forneceu alguns detalhes sobre como o ataque ocorreu.
No weblog, Ho disse que o web site do Notepad++ estava hospedado em um servidor de hospedagem compartilhada. Os invasores “miraram especificamente” o domínio da net do Notepad++ com o objetivo de explorar um bug no software program para redirecionar alguns usuários para um servidor malicioso executado pelos hackers. Isso permitiu que os hackers entregassem atualizações maliciosas a determinados usuários que solicitaram uma atualização de software program, até que o bug foi corrigido em novembro e o acesso dos hackers foi encerrado no início de dezembro.
“Temos registros indicando que o malfeitor tentou explorar novamente uma das vulnerabilidades corrigidas; no entanto, a tentativa não teve sucesso depois que a correção foi implementada”, escreveu Ho.
Por e-mail, Ho disse ao TechCrunch que seu provedor de hospedagem confirmou que seu servidor compartilhado estava comprometido, mas que o provedor não disse como os hackers invadiram inicialmente.
Ho pediu desculpas pelo incidente e pediu aos usuários que baixassem o versão mais recente de seu software program, que contém uma correção para o bug.
O ataque cibernético direcionado aos usuários do Notepad++ lembra um pouco o ataque cibernético de 2019-2020 que afetou clientes da SolarWinds, uma empresa de software program que fabrica ferramentas de gerenciamento de rede e TI para grandes organizações da Fortune 500, incluindo departamentos governamentais. Espiões do governo russo invadiram os servidores da empresa e plantaram secretamente um backdoor em seu software program, permitindo que os espiões russos acessassem dados nas redes desses clientes assim que a atualização fosse lançada.
A violação da SolarWinds afetou várias agências governamentais, incluindo a Segurança Interna e os Departamentos de Comércio, Energia, Justiça e Estado.
Atualizado com uma resposta de Ho e com detalhes adicionais do Rapid7.
