Notepad++ sofreu um ataque em cadeia por meio da infraestrutura de atualiza\u00e7\u00e3o. Hackers com suposta liga\u00e7\u00e3o a atores ligados ao governo chin\u00eas interceptaram o tr\u00e1fego de atualiza\u00e7\u00e3o e redirecionaram usu\u00e1rios selecionados para servidores maliciosos, entregando uma vers\u00e3o com backdoor. A empresa informou que recuperou o controle da infraestrutura em dezembro, ap\u00f3s o ataque ter come\u00e7ado em junho.<\/p>\n
A a\u00e7\u00e3o visou explorar falhas de verifica\u00e7\u00e3o de atualiza\u00e7\u00e3o em vers\u00f5es antigas. O grupo conseguiu manter credenciais internas at\u00e9 dezembro, mantendo a possibilidade de desviar atualiza\u00e7\u00f5es para servidores maliciosos. Investiga\u00e7\u00f5es apontam que o objetivo era explorar vulnerabilidades de verifica\u00e7\u00e3o em vers\u00f5es desatualizadas do Notepad++.<\/p>\n
A atualiza\u00e7\u00e3o comprometida introduziu um payload at\u00e9 ent\u00e3o in\u00e9dito, batizado de Chrysalis, descrito por empresas de seguran\u00e7a como uma backdoor complexa e com m\u00faltiplas fun\u00e7\u00f5es. Pesquisadores destacaram que a ferramenta parece ser persistente, n\u00e3o apenas uma utilidade tempor\u00e1ria.<\/p>\n
A Notepad++ informou que o fornecedor que hospeda a infraestrutura trabalhou com equipes de resposta a incidentes para confirmar o comprometimento, que permaneceu ativo em setembro e que as credenciais internas permaneceram ativas at\u00e9 dezembro. O objetivo espec\u00edfico foi explorar uma vulnerabilidade de atualiza\u00e7\u00e3o.<\/p>\n
Tr\u00eas organiza\u00e7\u00f5es relatadas por pesquisadores indicaram ter incidentes de seguran\u00e7a envolvendo dispositivos com Notepad++ instalado, com interrup\u00e7\u00f5es causadas pela explora\u00e7\u00e3o remota por meio de uma interface web. Os casos foram vinculados a interesses na regi\u00e3o da East Asia, segundo as informa\u00e7\u00f5es.<\/p>\n
Especialistas apontam que a vulnerabilidade estava ligada ao sistema de atualiza\u00e7\u00e3o, conhecido como GUP ou WinGUP. Logs de eventos indicam tentativas de reexplora\u00e7\u00e3o de falhas ap\u00f3s corre\u00e7\u00f5es, mas sem sucesso. A an\u00e1lise indica falhas de verifica\u00e7\u00e3o que permitiam redirecionamento de downloads.<\/p>\n
Para evitar riscos, pesquisadores recomendam que usu\u00e1rios atualizem para vers\u00f5es 8.8.8 ou superiores e, se poss\u00edvel, fa\u00e7am a instala\u00e7\u00e3o manual a partir do site oficial. Organiza\u00e7\u00f5es grandes devem considerar bloquear o dom\u00ednio do Notepad++ ou restringir o acesso do processo gup.exe \u00e0 internet.<\/p>\n
Quem quiser verificar se houve comprometimento pode consultar os indicadores de comprometimento disponibilizados pela equipe de seguran\u00e7a. O Notepad++ continua a orientar a atualiza\u00e7\u00e3o para vers\u00f5es 8.9.1 ou superiores para reduzir vulnerabilidades.<\/p>\n
O ataque ganhou notoriedade ap\u00f3s reportagens de ve\u00edculos de tecnologia, com o Ars Technica reproduzindo a investiga\u00e7\u00e3o original. As autoridades apontam que o incidente refor\u00e7a a import\u00e2ncia de verifica\u00e7\u00e3o de atualiza\u00e7\u00f5es em projetos de c\u00f3digo aberto.<\/p>\n","protected":false},"excerpt":{"rendered":"