Sequestro de atualização do Notepad++: o que a violação de segurança de seis meses ensina sobre a confiança no atualizador

O Notepad++ afirma que seu tráfego de atualizações foi sequestrado durante meses em 2025, com invasores interceptando e redirecionando seletivamente alguns usuários para infraestrutura maliciosa. O BleepingComputer relata que a invasão começou em junho de 2025 e terminou em 2 de dezembro, depois que o provedor de hospedagem detectou a violação e bloqueou o acesso.

O incidente serve como um lembrete importante de que "download via HTTPS" não é garantia total de segurança. Os sistemas de atualização precisam de uma verificação robusta de ponta a ponta, pois a infraestrutura em que você confia pode ser justamente a vulnerabilidade que será comprometida.

O que os atacantes exploraram

O BleepingComputer descreve uma falha nos controles de verificação de atualizações em versões mais antigas do Notepad++, permitindo que invasores distribuam manifestos de atualização adulterados e redirecionem downloads.

A campanha foi considerada restrita e seletiva, condizente com um agente que se preocupa mais com o acesso a alvos específicos do que com a distribuição em massa.

O cronograma é importante:

Acordo inicial em junho de 2025
Interrupção temporária no início de setembro após atualizações de kernel/firmware.
Acesso contínuo por meio de credenciais internas roubadas até 2 de dezembro.

Essa etapa de "credenciais que sobreviveram à correção" é uma falha clássica de resposta a incidentes: corrigir o servidor não é suficiente se o invasor já possui as chaves.

O que o Notepad++ mudou após o incidente?

O BleepingComputer informa que o Notepad++ migrou clientes para um novo provedor de hospedagem, rotacionou credenciais e aprimorou a verificação.

A partir da versão 8.8.9, WinGUP:

Verifica certificados e assinaturas de instaladores.
Utiliza XML de atualização com assinatura criptográfica

O projeto também planeja implementar a verificação obrigatória da assinatura do certificado na versão 8.9.2.

Essa progressão — verificações opcionais → verificações mais rigorosas → verificações obrigatórias — é exatamente como a distribuição de software deve se fortalecer ao longo do tempo.

A perspectiva do malware: Chrysalis e atribuição

O BleepingComputer cita uma pesquisa da Rapid7 que atribui uma campanha relacionada a um grupo APT chinês conhecido como Lotus Blossom (também descrito com outros pseudônimos) e a um backdoor personalizado da Rapid7 chamado "Chrysalis".

Em incidentes direcionados à cadeia de suprimentos, a carga maliciosa costuma ser personalizada. É por isso que a principal defesa não é "detectar este malware específico", mas sim "dificultar a entrega de qualquer carga maliciosa não autorizada por meio do atualizador".

O que as organizações deveriam fazer de diferente?

Se você gerencia software em um ambiente corporativo, este incidente aponta para algumas medidas de segurança padrão:

Evite os programas de atualização automática para consumidores.Em sistemas críticos, sempre que possível.
Utilize a distribuição de software gerenciada.(pacotes assinados em repositórios internos, Intune/SCCM, etc.).
Identificar e verificar assinaturaspara instaladores e atualizações.
Monitorar “caminhos de atualização”como infraestrutura crítica: DNS, políticas de inspeção TLS, comportamento de proxy e cadeias de execução de endpoints.

Se você for um usuário individual, os passos práticos são mais simples:

Atualize para a versão mais recente do Notepad++ a partir do site oficial.
Desconfie de avisos de atualização que não se pareçam com o instalador normal.
Evite anúncios do tipo "baixe agora" nos resultados de pesquisa que imitam páginas oficiais.

Resumindo

O sequestro de atualizações do Notepad++ que durou seis meses não se resumiu a um único bug, mas sim a uma questão de limites de confiança. Se um atacante consegue alterar o manifesto ou se as verificações de assinatura são fracas, as "atualizações" se tornam, por definição, execução remota de código. A solução é uma verificação de ponta a ponta que não pode ser burlada, mesmo quando o provedor de hospedagem é comprometido.

Fontes

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Sequestro de atualização do Notepad++: o que a violação de segurança de seis meses ensina sobre a confiança no atualizador

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	O BleepingComputer relata que o tráfego de atualização do Notepad++ foi sequestrado em 2025, com redirecionamentos seletivos para servidores maliciosos e posterior atribuição a um agente ligado ao governo chinês. Veja o que falhou, o que foi corrigido e como as organizações podem fortalecer a distribuição de software.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Ver todas as publicações de Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	A Microsoft afirma que um bug na atualização do Windows pode impedir o desligamento — quais são os afetados e a solução alternativa.
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	O Ártico está ficando mais barulhento e os narvais mais silenciosos: por que o ruído subaquático importa
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Sequestro de atualização do Notepad++: o que a violação de segurança de seis meses ensina sobre a confiança no atualizador
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	O Notepad++ afirma que seu tráfego de atualizações foi sequestrado durante meses em 2025, com invasores interceptando e redirecionando seletivamente alguns usuários para infraestrutura maliciosa. O BleepingComputer relata que a invasão começou em junho de 2025 e terminou em 2 de dezembro, depois que o provedor de hospedagem detectou a violação e bloqueou o acesso.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	O incidente serve como um lembrete importante de que "download via HTTPS" não é garantia total de segurança. Os sistemas de atualização precisam de uma verificação robusta de ponta a ponta, pois a infraestrutura em que você confia pode ser justamente a vulnerabilidade que será comprometida.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	O BleepingComputer descreve uma falha nos controles de verificação de atualizações em versões mais antigas do Notepad++, permitindo que invasores distribuam manifestos de atualização adulterados e redirecionem downloads.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	A campanha foi considerada restrita e seletiva, condizente com um agente que se preocupa mais com o acesso a alvos específicos do que com a distribuição em massa.
The timeline matters:
Initial compromise in June 2025	Acordo inicial em junho de 2025
Temporary disruption in early September after kernel/firmware updates	Interrupção temporária no início de setembro após atualizações de kernel/firmware.
Continued access via stolen internal credentials until December 2	Acesso contínuo por meio de credenciais internas roubadas até 2 de dezembro.
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	Essa etapa de "credenciais que sobreviveram à correção" é uma falha clássica de resposta a incidentes: corrigir o servidor não é suficiente se o invasor já possui as chaves.
What Notepad++ changed after the incident	O que o Notepad++ mudou após o incidente?
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	O BleepingComputer informa que o Notepad++ migrou clientes para um novo provedor de hospedagem, rotacionou credenciais e aprimorou a verificação.
Starting with version 8.8.9, WinGUP:	A partir da versão 8.8.9, WinGUP:
Verifies installer certificates and signatures	Verifica certificados e assinaturas de instaladores.
Uses cryptographically signed update XML	Utiliza XML de atualização com assinatura criptográfica
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	O projeto também planeja implementar a verificação obrigatória da assinatura do certificado na versão 8.9.2.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Essa progressão — verificações opcionais → verificações mais rigorosas → verificações obrigatórias — é exatamente como a distribuição de software deve se fortalecer ao longo do tempo.
The malware angle: Chrysalis and attribution	A perspectiva do malware: Chrysalis e atribuição
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	O BleepingComputer cita uma pesquisa da Rapid7 que atribui uma campanha relacionada a um grupo APT chinês conhecido como Lotus Blossom (também descrito com outros pseudônimos) e a um backdoor personalizado da Rapid7 chamado "Chrysalis".
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	Em incidentes direcionados à cadeia de suprimentos, a carga maliciosa costuma ser personalizada. É por isso que a principal defesa não é "detectar este malware específico", mas sim "dificultar a entrega de qualquer carga maliciosa não autorizada por meio do atualizador".
What organizations should do differently	O que as organizações deveriam fazer de diferente?
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Se você gerencia software em um ambiente corporativo, este incidente aponta para algumas medidas de segurança padrão:
Avoid consumer auto-updaters	Evite os programas de atualização automática para consumidores.
on critical systems where possible.	Em sistemas críticos, sempre que possível.
Use managed software distribution	Utilize a distribuição de software gerenciada.
(signed packages in internal repos, Intune/SCCM, etc.).	(pacotes assinados em repositórios internos, Intune/SCCM, etc.).
Pin and verify signatures	Identificar e verificar assinaturas
for installers and updates.	para instaladores e atualizações.
Monitor “update paths”	Monitorar “caminhos de atualização”
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	como infraestrutura crítica: DNS, políticas de inspeção TLS, comportamento de proxy e cadeias de execução de endpoints.
If you’re an individual user, the practical steps are simpler:	Se você for um usuário individual, os passos práticos são mais simples:
Update to a current Notepad++ version from the official site	Atualize para a versão mais recente do Notepad++ a partir do site oficial.
Be suspicious of update prompts that don’t look like the normal installer	Desconfie de avisos de atualização que não se pareçam com o instalador normal.
Avoid “download now” ads in search results that mimic official pages	Evite anúncios do tipo "baixe agora" nos resultados de pesquisa que imitam páginas oficiais.
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	O sequestro de atualizações do Notepad++ que durou seis meses não se resumiu a um único bug, mas sim a uma questão de limites de confiança. Se um atacante consegue alterar o manifesto ou se as verificações de assinatura são fracas, as "atualizações" se tornam, por definição, execução remota de código. A solução é uma verificação de ponta a ponta que não pode ser burlada, mesmo quando o provedor de hospedagem é comprometido.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Ver todas as publicações de Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	A Microsoft afirma que um bug na atualização do Windows pode impedir o desligamento — quais são os afetados e a solução alternativa.
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	O Ártico está ficando mais barulhento e os narvais mais silenciosos: por que o ruído subaquático importa
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	O BleepingComputer relata que o tráfego de atualização do Notepad++ foi sequestrado em 2025, com redirecionamentos seletivos para servidores maliciosos e posterior atribuição a um agente ligado ao governo chinês. Veja o que falhou, o que foi corrigido e como as organizações podem fortalecer a distribuição de software.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Página não encontrada - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Página não encontrada - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Esta página parece não existir.
It looks like the link pointing here was faulty. Maybe try searching?	Parece que o link que apontava para cá estava com defeito. Talvez tente pesquisar?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Como afiliados da Amazon, ganhamos com compras qualificadas, sem nenhum custo adicional para você.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...