Il celebre editor di testo open source Notepad++ è al centro di un problema di sicurezza relativo al suo updater integrato, WinGUp, che risulta compromesso da parte di sconosciuti al fine di sferrare attacchi malware mirati. Alcuni PC hanno subìto l’installazione di file malevoli attraverso il sistema di aggiornamento automatico di Notepad++. Per rispondere alla minaccia, lo sviluppatore Don Ho ha rilasciato la versione 8.8.9, che richiede un aggiornamento manuale da parte degli utenti.

Come è avvenuta la compromissione

Secondo quanto riportato dallo sviluppatore di Notepad++, alcuni esperti di sicurezza hanno osservato che il traffico Internet generato dall’updater è stato intercettato e dirottato verso server malevoli.

Il meccanismo di aggiornamento di Notepad++, fino alla versione 8.8.7, utilizzava un certificato auto-firmato, facilmente reperibile nel codice sorgente su GitHub. Ciò ha permesso agli aggressori di creare aggiornamenti fraudolenti, che venivano eseguiti sul PC della vittima con un avviso di “Editore sconosciuto”.

D’ora in avanti, Notepad++ ha iniziato a usare un certificato legittimo GlobalSign, eliminando la necessità di installare certificati root aggiuntivi.

Con una modifica applicata a WinGUp, la routine di aggiornamento usa github.com come unica sorgente per il download degli update. Inoltre, ulteriori misure di sicurezza verificano la firma e i certificati degli installer scaricati. Se la verifica fallisce, la procedura di aggiornamento si interrompe automaticamente.

Stato delle indagini

Don Ho aggiunge che le indagini proseguono per determinare il metodo esatto del dirottamento del traffico. Gli utenti saranno informati non appena saranno disponibili prove concrete riguardo alla causa dell’incidente.

Notepad++ è frequentemente preso di mira da attori malevoli, a causa della sua popolarità. Nel 2024, ad esempio, erano comparsi siti falsi che promettevano download del software ma contenevano malware. L’incidente recente evidenzia come anche updater legittimi possano diventare vettori di attacco se non adeguatamente protetti.

Aggiornamento manuale di Notepad++

Gli utenti sono invitati ad aggiornare subito a Notepad++ v8.8.9, scaricandolo manualmente dal sito ufficiale, e a verificare la presenza di eventuali file sospetti nella cartella temporanea del sistema.