A infraestrutura responsável pela distribuição das atualizações do Notepad++ — editor de texto muito popular para Windows — ficou comprometida por seis meses devido a ataques de hackers supostamente ligados ao governo chinês.
Segundo os desenvolvedores, esses invasores usaram esse controle para enviar versões backdoor do aplicativo a alvos selecionados.
Em comunicado oficial divulgado nesta segunda-feira no site notepad-plus-plus.org, o autor pediu desculpas aos usuários afetados pela invasão.
O ataque teria começado em junho do ano passado, por meio de um comprometimento de infraestrutura que permitiu aos hackers interceptar e redirecionar o tráfego das atualizações destinadas ao site oficial.
As investigações indicam que os invasores, associados a atores estatais chineses, redirecionaram seletivamente as atualizações para servidores maliciosos, distribuindo versões modificadas do Notepad++.
O controle da infraestrutura foi retomado somente em dezembro.
Com o acesso obtido, os atacantes instalaram um payload até então desconhecido, batizado de Chrysalis.
A empresa de segurança Rapid7 classificou a ameaça como um “backdoor customizado e rico em funcionalidades”, destacando a sofisticação e a permanência da ferramenta — muito além de uma simples ameaça descartável.
De acordo com o Notepad++, o provedor responsável pela hospedagem da infraestrutura de atualizações permaneceu comprometido até 2 de setembro.
Mesmo após essa data, os invasores mantiveram credenciais para serviços internos até 2 de dezembro, possibilitando a continuidade do redirecionamento para servidores maliciosos.
O principal objetivo do grupo era explorar falhas nas verificações de integridade das atualizações presentes em versões antigas do Notepad++.
Logs indicam que, mesmo após a correção dessas vulnerabilidades, os hackers tentaram explorá-las novamente, sem sucesso.
O pesquisador independente Kevin Beaumont revelou que três organizações relataram incidentes relacionados a dispositivos com Notepad++ instalado, que foram alvo de ataques “hands-on keyboard” — ou seja, com hackers assumindo controle direto via interface web.
Segundo Beaumont, essas três entidades têm vínculos ou interesses na região da Ásia Oriental.
O pesquisador detectou que a versão 8.8.8 do Notepad++, lançada em meados de novembro, trouxe correções para reforçar o sistema de atualizações, o Notepad++ Updater (também conhecido como GUP ou WinGUP), contra sequestros e entregas de versões maliciosas.
O updater realiza requisições ao endereço https://notepad-plus-plus.org/update/getDownloadUrl.php para obter a URL do arquivo de atualização, que é baixado no diretório %TEMP% e executado.
Beaumont destacou que esse download pode ser redirecionado se o tráfego for interceptado, por exemplo, por um provedor de internet que realize TLS intercept, mesmo com o protocolo HTTPS.
Algumas versões antigas usavam certificados autoassinados (self-signed), o que fragiliza a verificação da integridade do download.
A partir da versão 8.8.7, o certificado foi alterado para um emitido pela GlobalSign, reforçando a segurança.
Como o tráfego para o domínio oficial é relativamente baixo, um ataque em grande escala exigiria muitos recursos, o que aponta para a capacidade avançada e motivação de atores estatais.
Beaumont publicou essa hipótese em dezembro, dois meses antes do comunicado oficial do Notepad++.
Agora, com informações adicionais, essa linha de investigação foi confirmada.
O pesquisador também alertou que mecanismos de busca estão saturados de anúncios que promovem versões trojanizadas do Notepad++, levando muitos usuários a executarem versões comprometidas dentro de suas redes.
Além disso, a proliferação de extensões maliciosas para o editor aumenta ainda mais o risco para os usuários.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...