Serviço de atualização do Notepad++ ficou comprometido por seis meses

O serviço de atualização do Notepad++, que verifica a disponibilidade de novas versões do editor, ficou comprometido por cerca de seis meses em 2025 por um grupo de cibercriminosos. A ação explorou falhas no processo de verificação de atualizações presente em versões antigas do software.

Os atacantes comprometeram o servidor de hospedagem utilizado pelo projeto e passaram a redirecionar o download da atualização para um arquivo malicioso. Essas versões antigas do Notepad++ não verificavam se o instalador baixado possuía uma assinatura e um certificado legítimos, o que permitia que o arquivo falso fosse executado como se fosse uma atualização oficial.

Como medida de mitigação, as versões 8.8.9 e 8.9 passaram a exigir obrigatoriamente a verificação da assinatura e do certificado do instalador durante o processo de atualização. Além disso, o projeto migrou seu site para um novo provedor de hospedagem.

A campanha teria afetado um número limitado de vítimas, com o período estimado de comprometimento entre junho e 2 de dezembro de 2025.

A recomendação é que os usuários façam o download e a instalação manual da versão mais recente do Notepad++. Aqueles que instalaram anteriormente o certificado autoassinado utilizado no ataque também devem removê-lo manualmente.