O popular editor de texto Notepad++ foi alvo de um sofisticado ataque de cadeia de suprimentos, onde cibercriminosos comprometeram sua infraestrutura de atualizações para distribuir versões maliciosas do software. O ataque permaneceu ativo por cerca de seis meses, entre junho e dezembro de 2025, antes de ser descoberto e interrompido. Diferente de ataques que exploram falhas no código-fonte, este caso envolveu o redirecionamento de atualizações para servidores controlados por invasores.
Isso permitiu que um número limitado de usuários, cuidadosamente selecionados, baixasse e instalasse binários adulterados com malware, sem perceber. A operação foi atribuída ao grupo de espionagem digital conhecido como Lotus Blossom, ligado a interesses de um Estado-nação e com histórico de ataques direcionados a setores estratégicos como governo, defesa e telecomunicações. O grupo utilizou táticas avançadas para evitar detecção por longo período. O desenvolvedor do Notepad++, Don Ho, confirmou que a brecha explorada estava no sistema de atualização automática chamado WinGUp, que carecia de mecanismos de verificação robustos, como assinaturas digitais obrigatórias. Essa falha permitiu a entrega de atualizações falsas sem alertar o usuário.
Mesmo após os servidores de hospedagem originais terem sido recuperados em setembro de 2025, os atacantes mantiveram credenciais válidas que possibilitaram continuar interceptando parte do tráfego de atualização até dezembro. Esse detalhe prolongou a ação maliciosa sem levantar suspeitas imediatas. A resposta à ameaça envolveu a migração da infraestrutura para novos servidores mais seguros, além da implementação de verificação criptográfica nas atualizações futuras, garantindo que apenas arquivos assinados sejam aceitos pelo sistema.
