Un attacco informatico di natura sofisticata ha colpito gli utenti di Notepad++, il popolare editor di testo e codice open-source, compromettendo il sistema di aggiornamento dell'applicazione per circa sei mesi. La vulnerabilità, che secondo lo sviluppatore Don Ho sarebbe riconducibile a un gruppo sponsorizzato dal governo cinese, ha esposto migliaia di utenti al rischio di installare versioni modificate dell'app contenenti malware.
L'attacco ha sfruttato una compromissione dei server di hosting condiviso utilizzati da Notepad++, rimasti vulnerabili dal giugno 2025 fino al 2 dicembre dello stesso anno. I criminali informatici hanno implementato un sistema di reindirizzamento selettivo del traffico, intercettando le richieste di aggiornamento di specifici utenti target e sostituendo i manifest di aggiornamento legittimi con versioni malevole. Questa tecnica, nota come attacco man-in-the-middle a livello infrastrutturale, ha permesso agli aggressori di distribuire eseguibili dannosi senza destare immediatamente sospetti.
L'analisi condotta dall'esperto di sicurezza informatica Kevin Beaumont rivela che il payload malevolo potrebbe aver garantito agli attaccanti accesso remoto alla tastiera delle vittime, una capacità che consentirebbe la registrazione di credenziali, password e informazioni sensibili digitate dagli utenti. La natura del malware suggerisce un'operazione di spionaggio mirata piuttosto che un attacco indiscriminato finalizzato a lucro immediato.
Don Ho ha confermato che la compromissione è avvenuta a livello del provider di hosting, il cui nome non è stato divulgato ma che è stato immediatamente sostituito. Lo sviluppatore ha precisato che il targeting era estremamente selettivo, con i criminali che hanno concentrato i loro sforzi su obiettivi specifici anziché su un'ampia base di utenti. Beaumont ha rivelato che le organizzazioni colpite hanno tutte collegamenti o interessi strategici nella regione dell'Asia orientale, un dettaglio che rafforza l'ipotesi di un'operazione di cyber-spionaggio sponsorizzata da uno stato nazionale.
L'incidente assume una particolare rilevanza alla luce della storia di attivismo di Don Ho. Nel 2019, lo sviluppatore aveva rilasciato la versione "Free Uyghur" di Notepad++, criticando apertamente il governo cinese per la repressione della minoranza uigura. Quella presa di posizione aveva scatenato attacchi DDoS contro il sito ufficiale del progetto, episodi che lo sviluppatore aveva documentato pubblicamente in interviste. Il legame temporale e motivazionale tra quella campagna di attivismo e l'attuale compromissione appare difficile da ignorare.
La risposta tecnica all'attacco ha comportato una revisione completa del sistema di aggiornamento di Notepad++. La versione 8.8.9, rilasciata come risposta diretta alla vulnerabilità, implementa meccanismi rafforzati di verifica dell'integrità che controllano la presenza di manomissioni e autenticano la legittimità degli aggiornamenti attraverso firme digitali più robuste. Il nuovo sistema di updater incorpora controlli crittografici per prevenire future sostituzioni di file e garantire che gli eseguibili provengano esclusivamente dai server ufficiali di Notepad++.
È essenziale verificare di utilizzare almeno la versione 8.8.9, scaricandola direttamente dal sito ufficiale di Notepad++ per escludere la possibilità di compromissione. Beaumont raccomanda inoltre di controllare che non siano in uso versioni non ufficiali del software, spesso distribuite attraverso repository di terze parti o siti mirror non autorizzati che potrebbero non ricevere le patch di sicurezza.
Particolare attenzione va rivolta al processo gup.exe, l'updater ufficiale di Notepad++, monitorando eventuali comportamenti anomali attraverso Task Manager o strumenti di analisi di rete. Gli utenti dovrebbero inoltre ispezionare la cartella TEMP del proprio sistema operativo alla ricerca di file sospetti denominati "update.exe" o "AutoUpdater.exe", che non fanno parte della normale architettura di aggiornamento dell'applicazione e potrebbero indicare una compromissione attiva.
