Resumo
- Rapid7 descobriu que brecha no Notepad++ foi explorada pelo grupo hacker Lotus Blossom para espalhar backdoor Chrysalis;
- Vulnerabilidade estava no WinGup, mecanismo de atualização do Notepad++, e permitia interceptação de dados durante atualizações;
- O Notepad++ foi atualizado para a versão 8.9.1, corrigindo a falha; usuários devem atualizar o software imediatamente.
O drama do Notepad++ ganhou mais um capítulo: a empresa de segurança digital Rapid7 descobriu que a brecha no editor de código foi explorada por um grupo hacker supostamente ligado ao governo chinês para espalhar o Chrysalis, um poderoso backdoor usado para espionagem.
Na segunda-feira (02/02), o desenvolvedor Don Ho, principal responsável pelo projeto, explicou que o editor de código Notepad++ esteve vulnerável durante o segundo semestre de 2025.
O problema não estava no editor em si, mas no WinGup, seu mecanismo de atualização de versão. Basicamente, a falha permitia que o tráfego de dados de um procedimento de atualização fosse interceptado para, em seguida, ser direcionado a um malware.
Ho já havia expressado suspeitas de que a vulnerabilidade estava sendo explorada por um grupo supostamente ligado ao governo chinês, mas não havia mais detalhes sobre isso.
Mas um relatório publicado pela Rapid7 nesta terça-feira (03/02) informa que o tal grupo consiste no Lotus Blossom, que está ativo desde 2009 e é especializado em espionagem de organizações baseadas no Sudeste Asiático e, mais recentemente, na América Central.
Ainda de acordo com a Rapid7, o grupo hacker explorou a brecha no Notepad++ para espalhar um backdoor até então desconhecido chamado de Chrysalis.
A Rapid7 classifica o Chrysalis como “uma ferramenta sofisticada e permanente, não um simples utilitário descartável”. O backdoor tem a capacidade de acionar executáveis legítimos do sistema operacional e de aplicar técnicas de ofuscação para dificultar a sua identificação por softwares de segurança.
O Chrysalis pode, então, ser usado para coleta de dados ou acesso remoto ao computador de vítimas selecionadas.
A Rapid7 não deu estimativas sobre o número de vítimas. Porém, o Ars Technica chama a atenção para um acontecimento que parece ter relação com o assunto: no início de dezembro de 2025, o especialista em segurança digital Kevin Beaumont relatou que três organizações tiveram incidentes em suas redes a partir de computadores que tinham o Notepad++ instalado.
Atualize o Notepad++ o quanto antes
A boa notícia nessa história toda é que a infraestrutura de hospedagem do Notepad++ e o próprio editor foram atualizados para solucionar as brechas. Quem usa a ferramenta deve atualizá-la o quanto antes, portanto. Atualmente, o Notepad++ está na versão 8.9.1, que já é considerada livre do problema.
Em organizações que usam o Notepad++, pode valer a pena fazer uma análise da rede ou do parque de máquinas para verificar se o Chrysalis está ativo de alguma forma. A Rapid7 dá orientações sobre isso em seu relatório.
É claro que usuários domésticos também podem fazer uma checagem, mas, como o tal grupo Lotus Blossom mira alvos específicos em organizações, talvez o procedimento só seja interessante se você notar algum comportamento estranho em seu PC.
Em tempo: o Notepad++ é um editor de código para Windows conhecido por ser fácil de usar, leve e ter código-fonte aberto. Trata-se de uma ferramenta bastante versátil e que, na minha opinião, não deve ser desabonada por causa deste incidente de segurança, afinal, todo software está sujeito a vulnerabilidades.
Ah, só para não haver dúvidas: o Notepad++ não tem nenhuma relação com o Notepad (Bloco de Notas) do Windows.
Brecha no Notepad++ expôs usuários a um backdoor de espionagem
