Os desenvolvedores do popular editor de texto Notepad++ implementaram um esquema de bloqueio duplo em seu mecanismo de atualização para corrigir uma vulnerabilidade que permitia que alguns usuários do programa recebessem atualizações maliciosas.
Fonte da imagem: notepad-plus-plus.org
O trabalho em um mecanismo de atualização mais seguro para o Notepad++ começou com a versão 8.8.9 e será implementado com a versão 8.9.2, anunciada recentemente, que inclui a verificação do instalador assinado no GitHub. Uma segunda camada de proteção é a verificação do arquivo XML com assinatura digital (XMLDSig) retornado pelo serviço de atualização do domínio notepad-plus-plus.org. Os desenvolvedores afirmam que a combinação desses dois esquemas torna o processo de atualização “virtualmente invulnerável”.
O mecanismo de atualização automática também foi reforçado com medidas adicionais:
Com o lançamento da nova versão do Notepad++, os usuários agora têm a opção de desativar as atualizações automáticas por meio da interface do usuário. Os usuários também podem instalar um pacote MSI usando o comando “msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1” na linha de comando.
Especialistas da Rapid7 e desenvolvedores do Notepad++ relataram anteriormente que a infraestrutura de atualização do programa permaneceu comprometida e sob o controle de cibercriminosos por seis meses. O grupo Lotus Blossom foi responsabilizado pelo incidente. Os hackers comprometeram os recursos do provedor de hospedagem que executava o componente de atualização do Notepad++, encaminhando seletivamente solicitações de determinados usuários para servidores controlados pelos atacantes.
O ataque só foi descoberto em 2 de dezembro de 2025 e foi realizado utilizando a vulnerabilidade backdoor Chrysalis. O projeto Notepad++ mudou seu provedor de hospedagem, alterou suas credenciais e corrigiu as vulnerabilidades exploradas nas campanhas detectadas. Recomenda-se aos usuários que atualizem para a versão 8.9.2 e que sempre baixem os arquivos de instalação do endereço notepad-plus-plus.org é o domínio oficialprojeto.