A versão 8.9.2 adiciona verificação dupla no fluxo de atualização, corrige execução arbitrária ligada a caminho inseguro no Windows e endurece o WinGUp após uma campanha de atualização adulterada.
| Componente | Notepad++ 8.9.2, mecanismo de atualização, instalador assinado, XML assinado do servidor de atualização e componente autoatualizador WinGUp. |
| Vetor | Sequestro de tráfego de atualização no nível do provedor de hospedagem, com redirecionamento seletivo de requisições de determinados usuários para servidores maliciosos. |
| Impacto | Entrega de atualização adulterada com a backdoor Chrysalis e possibilidade separada de execução arbitrária de código pela vulnerabilidade CVE-2026-25926 quando um invasor controla o diretório de trabalho. |
| Prioridade | Atualizar para Notepad++ 8.9.2, validar origem oficial dos instaladores e revisar telemetria de atualização desde junho de 2025. |
| Versões | A versão 8.9.2 incorpora a verificação do XML assinado; a verificação do instalador assinado baixado do GitHub já havia sido implementada na versão 8.8.9 e posteriores. |
| Artefatos | Backdoor Chrysalis, CVE-2025-15556, CVE-2026-25926, CWE-426, WinGUp e domínio de atualização defangado notepad-plus-plus[.]org. |
| Mitigação | O endurecimento remove opções inseguras de SSL no cURL e restringe a execução do gerenciamento de plugins a programas assinados com o mesmo certificado do WinGUp. |
O Notepad++ publicou a versão 8.9.2 com mudanças de segurança no mecanismo de atualização depois que uma campanha de cadeia de suprimentos explorou o fluxo de update para entregar malware de forma seletiva. A correção central adota um desenho de verificação dupla: o instalador assinado baixado do GitHub é validado, e o XML assinado retornado pelo servidor de atualização também passa a ser verificado. A primeira parte desse controle já estava presente na linha 8.8.9 e posteriores; a segunda foi adicionada na 8.9.2 para reduzir a confiança implícita em respostas obtidas durante o processo de atualização.
O incidente anterior envolveu comprometimento no nível do provedor de hospedagem e permitiu que o tráfego de atualização fosse sequestrado a partir de junho de 2025. Requisições de usuários escolhidos eram redirecionadas para servidores maliciosos, que serviam uma atualização adulterada. A atividade foi detectada no início de dezembro de 2025. A carga entregue foi descrita como a backdoor Chrysalis, associada ao incidente de cadeia de suprimentos rastreado como CVE-2025-15556, com pontuação CVSS 7.7. A operação foi atribuída a um grupo com nexo chinês chamado Lotus Panda.
A mesma versão também trata a vulnerabilidade de alta severidade CVE-2026-25926, com pontuação CVSS 7.3, no lançamento do Windows Explorer sem caminho absoluto de executável. O problema é classificado como CWE-426, caminho de busca inseguro, e pode permitir que um explorer.exe malicioso seja executado caso o invasor consiga controlar o diretório de trabalho do processo. O impacto confirmado é execução arbitrária de código no contexto da aplicação em execução, sob condições específicas.
A cadeia de suprimentos explorada dependia da confiança do cliente no fluxo normal de atualização. Quando o aplicativo consultava o servidor de update, parte do tráfego de determinados usuários podia ser desviada por causa da brecha no ambiente de hospedagem. Em vez de receber a resposta legítima esperada, o alvo selecionado era conduzido a infraestrutura maliciosa que fornecia um pacote adulterado. Esse tipo de ataque é sensível porque se apoia em um comportamento rotineiro do software, reduzindo a necessidade de interação incomum do usuário e misturando a atividade maliciosa a tráfego esperado de manutenção.
A resposta da versão 8.9.2 tenta quebrar essa cadeia ao exigir comprovações criptográficas em dois pontos do processo. A validação do instalador assinado reduz a chance de aceitar um binário substituído, enquanto a validação do XML assinado do servidor de atualização reduz o risco de uma resposta manipulada induzir o cliente a buscar ou aceitar um artefato indevido. O domínio de atualização notepad-plus-plus[.]org continua sendo parte do fluxo, mas a decisão de confiança passa a depender menos de conectividade e hospedagem e mais de assinatura verificável.
No WinGUp, componente autoatualizador do Notepad++, foram incluídas mudanças adicionais. Duas opções inseguras de SSL usadas com cURL, CURLSSLOPT_ALLOW_BEAST e CURLSSLOPT_NO_REVOKE, foram removidas, o que endurece o tratamento de conexões e validações relacionadas ao transporte. O gerenciamento de plugins também foi restringido para executar apenas programas assinados com o mesmo certificado do WinGUp, reduzindo a superfície para abuso de binários auxiliares no fluxo de atualização e administração de extensões.
A falha CVE-2026-25926 tem um caminho técnico diferente. O risco surge quando o Windows Explorer é lançado sem específicação absoluta do executável. Se o diretório de trabalho puder ser controlado por um atacante, o mecanismo de busca do sistema pode resolver um explorer.exe malicioso antes do executável legítimo. Essa condição não equivale, por si só, a exploração remota universal; ela exige controle sobre o diretório de trabalho e depende de como a aplicação é iniciada ou manipulada. Ainda assim, quando as precondições existem, o resultado pode ser execução de código no contexto do processo do Notepad++.
A superfície principal envolve instalações do Notepad++ que dependiam do mecanismo de atualização antes do endurecimento introduzido na versão 8.9.2. O risco mais relevante para investigação retrospectiva está em estáções que realizaram consultas de atualização desde junho de 2025 e que poderiam ter sido selecionadas durante a campanha. A atividade não foi descrita como distribuição indiscriminada para todos os usuários; o redirecionamento foi seletivo, voltado a alvos de interesse.
Os alvos citados abrangem indivíduos e organizações no Vietnã, El Salvador, Austrália, Filipinas, Estados Unidos, América do Sul e Europa. Os setores mencionados incluem hospedagem em nuvem, energia, finanças, governo, manufatura e desenvolvimento de software. Essa distribuição exige que equipes de segurança avaliem o risco pelo uso real do Notepad++ em estáções de administradores, desenvolvedores, operadores de infraestrutura e usuários com acesso a ambientes sensíveis.
- Instalações do Notepad++ que não foram atualizadas para a versão 8.9.2.
- Endpoints que executaram atualização do Notepad++ entre junho e dezembro de 2025.
- Ambientes em setores de nuvem, energia, finanças, governo, manufatura e desenvolvimento de software.
- Sistemas em que o diretório de trabalho possa ser controlado antes do lançamento do Windows Explorer pelo aplicativo.
- Fluxos de gerenciamento de plugins dependentes do WinGUp antes da restrição por certificado.
A investigação deve começar por inventário de versão e histórico de atualização. Estáções com Notepad++ anterior à 8.9.2 precisam ser correlacionadas com registros de execução do instalador, conexões para infraestrutura de atualização e eventos de criação de processo próximos ao horário de update. Como a campanha usou redirecionamento seletivo, a ausência de grande volume de alertas não elimina risco em máquinas específicas, principalmente quando pertencem a usuários com acesso privilegiado, repositórios, ambientes de build ou consoles de nuvem.
Na camada de rede, a defesa deve buscar anomalias no tráfego de atualização, como destinos não esperados durante a verificação de versões, mudanças incomuns de resolução, conexões a servidores que não correspondam ao fluxo legítimo e downloads de instaladores fora do domínio oficial. Indicadores devem ser tratados com cuidado para não transformar domínios legítimos em bloqueios amplos sem validação. O domínio legítimo pode ser registrado em consultas como notepad-plus-plus[.]org em documentação defensiva, mantendo qualquer indicador suspeito defangado e validado antes de uso operacional.
No endpoint, a telemetria útil inclui criação de processos envolvendo instaladores do Notepad++, execução de binários temporários, escrita em diretórios de atualização, carregamento de componentes associados ao WinGUp e eventos de execução de explorer.exe a partir de diretório inesperado. Para a vulnerabilidade de caminho inseguro, o sinal mais importante é a combinação entre diretório de trabalho controlável e resolução de executável fora do caminho absoluto esperado do Windows Explorer legítimo.
- Versões do Notepad++ inferiores à 8.9.2 em endpoints ativos.
- Downloads de atualização ocorridos desde junho de 2025 com destino ou origem fora do padrão esperado.
- Execução de instaladores do Notepad++ acompanhada de conexões de rede anômalas.
- Presença de artefatos ou comportamento compatível com a backdoor Chrysalis.
- Criação de processo
explorer.exea partir de diretório não esperado. - Atividades de gerenciamento de plugins executadas por programas sem assinatura alinhada ao WinGUp.
A ação prioritária é atualizar o Notepad++ para a versão 8.9.2 e garantir que os instaladores sejam obtidos apenas pelo domínio oficial. Essa medida incorpora a verificação do XML assinado e mantém a validação do instalador assinado, formando a dupla checagem necessária para resistir melhor a respostas de atualização adulteradas. Em ambientes corporativos, a atualização deve ser aplicada por inventário gerenciado, com confirmação de versão instalada e registro de sucesso em estáções de usuários privilegiados e equipes técnicas.
A resposta também precisa incluir revisão histórica. Máquinas que fizeram update durante a janela iniciada em junho de 2025 devem ser priorizadas para triagem de endpoint, verificação de persistência, análise de processos recentes e correlação de rede. Quando houver suspeita de atualização adulterada ou presença de Chrysalis, a contenção deve isolar o host, preservar evidências de disco e memória conforme o procedimento interno, revogar credenciais usadas no sistema e revisar acessos a repositórios, consoles de nuvem e ambientes de desenvolvimento.
Para CVE-2026-25926, a mitigação passa por aplicar a versão corrigida e reduzir situações em que diretórios de trabalho possam ser controlados por usuários não confiáveis antes da abertura do Windows Explorer. Controles de aplicação, monitoramento de execução por caminho e validação de assinaturas ajudam a detectar abuso. A remoção das opções inseguras CURLSSLOPT_ALLOW_BEAST e CURLSSLOPT_NO_REVOKE também deve ser considerada parte do endurecimento, pois reduz comportamento permissivo no transporte usado pelo componente de atualização.
- Atualizar todos os hosts para Notepad++ 8.9.2.
- Baixar instaladores somente pelo domínio oficial e validar assinatura quando o processo interno exigir comprovação.
- Inventariar endpoints que atualizaram o aplicativo desde junho de 2025.
- Investigar hosts com tráfego de update redirecionado, instaladores incomuns ou sinais compatíveis com Chrysalis.
- Revisar execução de
explorer.exepor caminho inesperado e corrigir fluxos que dependam de diretórios de trabalho controláveis. - Aplicar controle de execução para impedir binários auxiliares não assinados no fluxo de plugins e atualização.
0 Comentários