O Risco Silencioso do Software Gratuito: O Caso Notepad++

Usei o Notepad++ por mais de uma década. Como muitos, confiava na ferramenta para editar desde anotações rápidas até arquivos de configuração em produção. A notícia de que sua infraestrutura de atualização foi comprometida por um grupo state-sponsored me fez parar para pensar. Não pela vulnerabilidade em si, mas pelo que ela representa: o risco silencioso das ferramentas que entram na empresa sem passar por nenhum processo formal de aquisição.

O que aconteceu

O que aconteceu com o Notepad++ não foi uma falha no código do editor. O ataque foi um supply chain attack. Entre junho e dezembro de 2025, o grupo Lotus Blossom, identificado como state-sponsored, comprometeu o provedor de hospedagem compartilhada do site oficial do Notepad++. A partir daí, conseguiram interceptar seletivamente as solicitações de atualização do software e entregar versões maliciosas para alvos específicos. O editor era o mesmo. O canal de entrega é que foi envenenado.O mecanismo era sofisticado. Quando o usuário tentava atualizar o Notepad++, o updater (WinGUp) baixava um instalador NSIS malicioso que iniciava uma cadeia de infecção. Em uma variante, usava DLL sideloading com um componente legítimo do Bitdefender para carregar um backdoor customizado chamado Chrysalis. Em outra, executava scripts Lua para injetar Cobalt Strike Beacon. As técnicas de evasão incluíam o uso do framework Warbird da Microsoft e API hashing customizado para reduzir a detecção por antivírus.Os alvos não eram aleatórios. A campanha atingiu setores de governo, telecomunicações, energia, financeiro, manufatura e desenvolvimento de software em regiões que incluem Sudeste Asiático, América do Sul, EUA e Europa.

Por que isso importa para a liderança

O perfil de quem usa o Notepad++ é o que torna esse incidente relevante para qualquer C-Level. Não estamos falando de um software usado pelo estagiário para abrir arquivos de texto. Estamos falando de uma ferramenta onipresente entre administradores de sistemas, engenheiros de rede e equipes de DevOps. Profissionais que editam configurações de servidores, analisam logs de sistemas críticos e auditam código em jump boxes onde aplicações pesadas não rodam. Comprometer essa ferramenta é comprometer o acesso privilegiado da organização.A Palo Alto Networks, em seu relatório da Unit 42, foi direta nesse ponto: comprometer o Notepad++ permite que atacantes contornem defesas de perímetro e acessem diretamente as sessões dos usuários com maior nível de privilégio na rede.

O problema real: governança de ferramentas gratuitas

Em qualquer empresa existem dezenas de ferramentas gratuitas em uso. Elas são adotadas porque resolvem problemas de forma mais ágil que as soluções corporativas, muitas vezes pesadas e lentas. O problema é que operam fora da governança de TI. Sem contrato, sem SLA, sem um responsável claro. A ausência de custo no orçamento não elimina o custo do risco.E o risco não é teórico. O Notepad++ não é um caso isolado. Lembrem-se do SolarWinds. Lembrem-se do Log4J. A diferença é que nesses casos havia um fornecedor com quem negociar, um contrato para acionar. Com ferramentas gratuitas, não há essa rede de segurança.A resposta do mantenedor do Notepad++ foi adequada. A migração para um novo provedor de hospedagem, a implementação de verificação de certificado e assinatura no updater (a partir da v8.8.9) e a assinatura XMLDSig no servidor de atualização são medidas corretas. Mas o ponto é que a responsabilidade de proteger o ambiente não pode depender exclusivamente do mantenedor de um projeto open source.

O que fazer na prática

A solução não é proibir o software gratuito. A TI sombra só se aprofundaria. A questão é como gerenciar o ciclo de vida e o risco desses ativos.Precisamos de um inventário do que está em uso, por quem e para qual finalidade. Com essa visibilidade, é possível aplicar um modelo de governança que não sufoque a produtividade. Um repositório interno de ferramentas aprovadas e verificadas, combinado com políticas de application whitelisting baseadas em assinaturas digitais, são pontos de partida pragmáticos.Para quem já usa o Notepad++, a recomendação imediata é baixar manualmente a versão 8.9.1 ou superior diretamente do site oficial e não confiar no mecanismo de atualização automática de versões anteriores.

Conclusão

O caso Notepad++ não é sobre um editor de texto. É sobre a cadeia de confiança que temos em nosso ecossistema de tecnologia. O risco pode não estar no software de contrato milionário que passou por meses de due diligence, mas na ferramenta simples que nunca entrou em uma planilha de orçamento. Ignorar isso é uma decisão de risco, e como qualquer decisão de risco, precisa ser consciente.