Notepad++ corrige vulnerabilidade após grupo hacker explorar sistema de atualização

O Notepad++ lançou a versão 8.9.2 com correções de segurança após a descoberta de que seu mecanismo de atualização automática havia sido sequestrado por um grupo hacker ligado à China. A falha permitiu a distribuição seletiva de malware para alvos específicos por meio de atualizações comprometidas.

De acordo com o mantenedor do projeto, Don Ho, a nova versão implementa um modelo de “dupla verificação” (double lock) para tornar o processo de atualização mais robusto e praticamente impossível de ser explorado. A proteção inclui a verificação do instalador assinado baixado do GitHub já implementada desde a versão 8.8.9 e uma nova checagem da assinatura digital do arquivo XML retornado pelo servidor oficial de atualizações do Notepad++.

Ajustes no mecanismo de atualização

Além do reforço na validação criptográfica, mudanças importantes foram feitas no WinGUp, componente responsável pelo auto-update:

Remoção da biblioteca libcurl.dll para eliminar risco de DLL side-loading;

Exclusão de duas opções SSL inseguras do cURL: CURLSSLOPT_ALLOW_BEAST e CURLSSLOPT_NO_REVOKE;

Restrição da execução de plugins apenas para programas assinados com o mesmo certificado digital do WinGUp.

As alterações buscam reduzir drasticamente a superfície de ataque associada ao processo de atualização, um vetor frequentemente explorado em ataques de supply chain.

A atualização também corrige a vulnerabilidade CVE-2026-25926 (CVSS 7.3), classificada como de alta severidade. O problema está relacionado a uma falha do tipo Unsafe Search Path (CWE-426), que ocorria ao abrir o Windows Explorer sem especificar o caminho absoluto do executável.

Na prática, caso um invasor conseguisse controlar o diretório de trabalho do processo, seria possível executar um arquivo malicioso chamado “explorer.exe”, levando à execução arbitrária de código no contexto da aplicação.

Ataque de supply chain e backdoor “Chrysalis”

A correção ocorre semanas após a revelação de que um comprometimento no provedor de hospedagem do Notepad++ permitiu que hackers redirecionassem o tráfego de atualização de determinados usuários para servidores maliciosos. O incidente teve início em junho de 2025 e foi identificado apenas no começo de dezembro do mesmo ano.

As atualizações adulteradas possibilitaram a entrega de um backdoor inédito chamado Chrysalis. O ataque foi catalogado sob o identificador CVE-2025-15556 (CVSS 7.7) e atribuído ao grupo hacker conhecido como Lotus Panda, associado à China.

Segundo análises da Rapid7, Kaspersky e da Unit 42, da Palo Alto Networks, os alvos incluíam organizações e indivíduos no Vietnã, El Salvador, Austrália, Filipinas, Estados Unidos, América do Sul e Europa. Entre os setores atingidos estão hospedagem em nuvem, energia, finanças, governo, manufatura e desenvolvimento de software.

Usuários do Notepad++ devem atualizar imediatamente para a versão 8.9.2 e garantir que o instalador seja baixado exclusivamente do domínio oficial do projeto. O episódio reforça como ataques à cadeia de suprimentos de software continuam sendo uma das ameaças mais sofisticadas e perigosas do cenário atual.