Notepad++: Comprometimento do Mecanismo de Atualização por Atores Patrocinados por Estado
- Security Team
- há 20 horas
- 2 min de leitura
O CTI do ICS Labs identificou a exploração ativa de um comprometimento na cadeia de suprimentos (Supply Chain) envolvendo o Notepad++, editor de texto amplamente utilizado em ambientes corporativos e técnicos.
De acordo com o mantenedor do projeto, atores patrocinados por Estado comprometeram a infraestrutura do provedor de hospedagem, permitindo a interceptação e redirecionamento seletivo do tráfego de atualização do WinGUp (updater do Notepad++), sem exploração direta de falhas no código da aplicação.
A atividade maliciosa teve início estimado em junho de 2025, permanecendo ativa por mais de seis meses antes de ser detectada publicamente.
Visão geral da ameaça:
A campanha se caracteriza como um ataque sofisticado, direcionado e furtivo, explorando falhas no processo de verificação de integridade e autenticidade das atualizações do Notepad++.
Principais características observadas:
Redirecionamento de tráfego de atualização para servidores maliciosos
Distribuição de executáveis adulterados (poisoned binaries)
Ataque altamente direcionado, afetando apenas subconjuntos específicos de usuários
Exploração em nível de infraestrutura (hosting provider)
Pesquisas independentes atribuem a atividade ao grupo Violet Typhoon (APT31), anteriormente associado a campanhas de espionagem cibernética conduzidas por atores estatais chineses.
Ações de recomendação:
Monitorar e restringir atualizações automáticas do Notepad++ em ambientes corporativos.
Validar hashes e assinaturas digitais dos binários do programa instalados.
Revisar logs de firewall e EDR para downloads suspeitos e execução anômala do updater WinGUp.
Ativar alertas para execução de binários recém-criados e conexões externas inesperadas após updates.
Medidas de Fortalecimento e Proteção:
Centralizar a distribuição de software via repositórios internos confiáveis.
Realizar varredura em endpoints nos quais o software foi atualizado entre junho e dezembro de 2025.
Aplicar princípio de menor privilégio.
Atualizar o Notepad++ para sua versão mais recente.
IOCs:
INDICADORES | TIPO |
Atualizações do Notepad++ fora do domínio oficial | Evento |
Divergência de hash entre versões instaladas | Assinatura |
Comunicação com infraestrutura desconhecida durante processos de update do Notepad++ | Evento |
95.179.213.0 | IP |
api[.]skycloudcenter[.]com | Domínio |
api[.]wiresguard[.]com | Domínio |
61.4.102.97 | IP |
59.110.7.32 | IP |
124.222.137.114 | IP |
Últimas atualizações:
Junho, 2025: Início estimado da exploração.
Setembro, 2025: Perca de acesso ao servidor do provedor pelos atores maliciosos.
9 de dezembro, 2025: Blog oficial do Notepad++ divulga que o tráfego do atualizador do Notepad++ está sendo redirecionado para servidores maliciosos, devido a uma vulnerabilidade no WinGUp.
Dezembro, 2025: Inativação das credenciais que permitiram aos atacantes acessar serviços internos do provedor mesmo sem acesso aos servidores.
2 de fevereiro, 2026: Blog oficial do Notepad++ divulga detalhes da análise do incidente, realizada por especialistas de segurança.
5 de fevereiro, 2026: Blog oficial do Notepad++ publica artigo no qual esclarece algumas dúvidas de usuários do software e compartilha fontes de IOCs.
Comentários