Recentemente, confirmou-se o que muitos temiam: um editor de texto muito popular entre desenvolvedores e usuários avançados foi usado como vetor para introduzir malware em máquinas-alvo. O culpado não foi uma vulnerabilidade do próprio Notepad++, mas sim uma intrusão ao nível do fornecedor que alojava suas atualizações, que permitiu a um ator ligado à China redireccionar tráfego seletivo e fornecer uma atualização manipulada a determinados usuários.
A assinatura de resposta a incidentes Rapid7 publicou uma análise detalhada no qual documenta como o atacante aproveitou essa janela de oportunidade para entregar um backdoor até então desconhecido, batizado como Chrysalis. O relatório reúne testes técnicos sobre a amostra, sua cadeia de execução e as técnicas usadas para executá-la e persistir em sistemas comprometidos. Você pode ler o relatório completo do Rapid7 aqui: Rapid7 — TR: Chrysalis backdoor.
Segundo a pesquisa, a sequência observada começou com a execução legítima de Notepad++ e seu atualizador (GUP.exe). A seguir, foi descarregou e lançou um instalador chamado update.exe a partir de um IP controlado pelos atacantes. Esse instalador é um pacote NSIS que inclui vários componentes: um executável renomado que serve para realizar DLL side-loading, um DLL maliciosa encarregado de decifrar e executar shellcode, e o próprio payload ofuscado, Chrysalis.
A técnica de DLL side-loading não é nova e tem sido usada com frequência por grupos com apoio estatal. Consiste em aproveitar a forma como uma aplicação legítima carga bibliotecas dinâmicas para forçar a carga de um DLL maliciosa com o mesmo nome que uma dependência esperada. Rapid7 assinala que neste caso foram reutilizados binários legítimos de provedores de segurança como parte do engano, uma tática que também aparecia em campanhas documentadas anteriormente pela Broadcom/Symantec contra o mesmo ator conhecido por várias alias, entre eles Lotus Blossom ou Billbug.
Chrysalis, por sua vez, é um implante sofisticado: coleta informações do sistema e contacta um servidor de comando e controle (C2) para receber instruções adicionais. Embora o C2 documentado na análise já não responda, o código do backdoor revela capacidades para abrir uma shell interativa, criar processos, gerenciar arquivos, subir e baixar dados, e até desinstalar. Rapid7 também encontrou no pacote componentes desenhado para carregar uma carga útil do Cobalt Strike através de um carregador personalizado que incorpora o conhecido Metasploit block API, cujo repositório está disponível publicamente: Metasploit — block_ api.asm.
Outro achado relevante é a utilização de técnicas de ofuscação e proteção não documentadas, como o abuso de uma ferramenta interna da Microsoft chamada Warbird para a execução de shellcode em modo kernel, adaptada a partir de um teste de conceito publicado por pesquisadores alemães. O trabalho de Cirosec que descreve esse abuso pode ser consultado aqui: Cirosec — Abusing Microsoft Warbird, e uma análise adicional sobre Warbird aparece neste artigo técnico: Websec — Microsoft Warbird deep dive.
A atribuição que propõe Rapid7 vincula este conjunto de ferramentas e táticas ao ator conhecido como Lotus Blossom, baseando-se em similaridades com campanhas anteriores: a reutilização de executáveis legítimos para o sideloading de DLLs, o padrão de cargas úteis customizadas junto a frameworks comerciais como Cobalt Strike, e a rápida adoção de técnicas públicas por parte do atacante. Broadcom/Symantec já havia documentado atividades deste ator em abril de 2025, o que se encaixa com a evolução mostrada agora.
Do ponto de vista da comunidade de Notepad++, o mantenedor Don Ho observou que a intrusão ocorreu ao nível da hospedagem e permitiu redireções seletivas do tráfego de atualização desde junho de 2025; a organização patchou a fraqueza e publicou uma versão segura em dezembro de 2025. A equipe migrou um novo fornecedor de alojamento e rotou credenciais, medidas que são o primeiro passo lógico após descobrir uma intrusão na cadeia de abastecimento. Você pode consultar a página de releases do projeto Notepad++ para verificar versões e notas oficiais: Notepad++ — Releases.
É importante salientar que, segundo Rapid7, não há evidência de que o mecanismo do atualizador se utilizasse de forma massiva para distribuir malware a toda a base de usuários; o ator realizava redireções seletivas e a confirmação técnica da infecção se limita a sistemas concretos onde se observaram as execuções anómalas. Mesmo assim, uma campanha voltada para usuários específicos de uma aplicação tão difundida ilustra o perigo dos ataques à cadeia de fornecimento, onde a confiança na integridade das atualizações pode se tornar um vetor de compromisso.
A notícia gerou cobertura em meios especializados que acompanharam os detalhes técnicos e o impacto sobre usuários: entre outros, BleepingComputer publicou um resumo acessível do que aconteceu e as recomendações para os afetados. Você pode ler mais em: BleepingComputer — Notepad++ users targeted.
Que lições práticas deixa este incidente? Primeiro, a importância de verificar a autenticidade das actualizações e de preferir mecanismos de assinatura e validação criptográfica robustos. Segundo, a urgência de garantir não só o software, mas toda a cadeia de distribuição: fornecedores de hospedagem, repositórios e processos de publicação devem ser tratados como parte do perímetro de segurança. E terceiro, que os atacantes continuam a mesclar ferramentas próprias com marcos comerciais conhecidos e com pesquisa pública, o que acelera sua capacidade para escapar de detecções convencionais.
Se você é usuário do Notepad++ ou de qualquer aplicação crítica, convém verificar que você está na versão mais recente publicada após a mitigação, reinstalar de fontes oficiais e, quando possível, ativar a validação de assinaturas ou somas de verificação oferecidas pelos desenvolvedores. Para equipamentos corporativos, a recomendação é rever registros, procurar indícios de executáveis não esperados (como atualizações descarregadas de IPs estranhas) e, se necessário, reconstruir sistemas comprometidos a partir de imagens limpas.
Este episódio volta a colocar em primeiro plano uma realidade inquietante: proteger software popular exige olhar além do código e garantir cada elo da cadeia de distribuição. Enquanto os grupos com recursos continuam a alimentar o seu arsenal, a melhor defesa é uma combinação de controles técnicos, processos rigorosos e vigilância constante.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...