O conhecido Notepad++ sofreu um ciberataque que colocou os seus utilizadores em risco durante meses. A vulnerabilidade não é nova, uma vez que os programadores da aplicação já a anunciaram em dezembro. No entanto, forneceram agora mais detalhes sobre o sucedido e como isso afetou os utilizadores. Os hackers roubaram passwords aos utilizadores.
Notepad++ comprometido por hacker chineses
Numa publicação no seu blogue oficial, os programadores do Notepad++ explicaram que foram vítimas de um ataque de agentes maliciosos aparentemente ligados à China. Os hackers não comprometeram o código do software em si, mas sim a sua infraestrutura de distribuição. Isto permitiu-lhes redirecionar parte do tráfego quando os utilizadores tentavam descarregar uma atualização, enviando-lhes pacotes comprometidos.
Segundo o Notepad++, o ataque teve como alvo o seu fornecedor de alojamento. O incidente começou em junho de 2025, quando os hackers intercetaram o tráfego destinado à atualização da aplicação e o redirecionaram para distribuir uma versão infetada com malware. Esta situação persistiu até setembro, quando uma atualização do firmware e do kernel do servidor deixou os atacantes sem acesso.
No entanto, conseguiram explorar credenciais internas roubadas para continuar a comprometer a infraestrutura até dezembro. No final 2025, foi lançada uma atualização do Notepad++ que corrigiu as vulnerabilidades e reforçou a segurança do instalador da atualização. Além disso, o site da aplicação já não está alojado nos servidores atacados e migrou para outro fornecedor com “práticas de segurança mais robustas”.
Atacantes recolheram passwords dos utilizadores
Ainda não se sabe ao certo como os atacantes conseguiram comprometer o fornecedor de alojamento do Notepad++. O assunto continua sob investigação para determinar as causas definitivas. O que chama a atenção dos programadores é que o ataque não parece ter afetado todos os utilizadores. Foi referido que a campanha teve como alvo indivíduos “altamente selecionados”, o que parece dar mais credibilidade à hipótese de que os atacantes eram hackers com apoio da China.
Assim, quem atualizou o Notepad++ entre junho e novembro de 2025, poderá ter instalado uma versão com malware. Recomenda-se a instalação da versão mais recente, a 8.9.1. Desde a versão 8.8.9, lançada em dezembro, que o editor de texto e código tem assinaturas e certificados de instalação verificados. Além disso, o ficheiro XML do servidor é agora assinado, sendo esperadas outras melhorias de segurança.
Os utilizadores estão a ser aconselhados a tomar precauções adicionais para evitar problemas. Especificamente, devem alterar as passwords dos sistemas utilizados para gerir servidores e bases de dados (SSH, MySQL, FTP/SFTP). Devem ainda atualizar o WordPress e as suas credenciais e verificar se existem utilizadores não autorizados.