Notepad++ è al centro di un grave incidente di sicurezza: il suo updater integrato, noto come WinGUp, è stato compromesso permettendo l’installazione di malware su alcuni computer. Soluzione immediata: disinstalla Notepad++, elimina i residui e reinstalla manualmente l’ultima versione sicura (8.9.1 o superiore) dal sito ufficiale. Questo articolo ti guida passo per passo per evitare rischi.
Notepad++ è uno degli editor di testo open source più popolari al mondo, utilizzato da milioni di sviluppatori, scrittori e utenti professionali per la sua leggerezza e versatilità. Recentemente, però, ha fatto notizia per un attacco sofisticato che ha esposto gli utenti a potenziali infezioni malware attraverso il meccanismo di aggiornamento automatico. L’incidente, durato da giugno a dicembre 2025, ha coinvolto un server di hosting condiviso vulnerabile, intercettato da attaccanti che reindirizzavano selettivamente il traffico verso server malevoli.
Lo sviluppatore principale, Don Ho, ha confermato che il problema non ha colpito il codice sorgente del software, ma solo l’infrastruttura di distribuzione degli update. Gli utenti colpiti – presumibilmente un numero limitato ma mirato, inclusi organizzazioni sensibili – hanno ricevuto file falsi come “AutoUpdater.exe”, contenenti infostealer per rubare dati. Fortunatamente, la versione 8.8.9 e successive bloccano questi attacchi con nuove verifiche di integrità e firme digitali.
Perché è successo e come proteggerti ora
Il tallone d’Achille era il certificato auto-firmato usato fino alla versione 8.8.7, facilmente replicabile dagli hacker poiché visibile nel codice su GitHub. Questo ha permesso di creare installer fraudolenti che apparivano con un semplice avviso “Editore sconosciuto”, bypassando controlli superficiali. Ora, Notepad++ usa certificati GlobalSign legittimi e scarica update solo da github.com, con controlli automatici che interrompono il processo se qualcosa non quadra.
Passi rapidi per la sicurezza:
- Apri Task Manager e termina gup.exe se attivo.
- Disinstalla Notepad++ dal Pannello di Controllo.
- Cancella cartelle: C:\Program Files\Notepad++, %APPDATA%\Notepad++, %LOCALAPPDATA%\Notepad++ e TEMP per file sospetti come update.exe.
- Scarica l’ultima versione dal sito ufficiale e installala manualmente.
- Disattiva gli aggiornamenti automatici nelle impostazioni per maggiore controllo.
Questi passaggi bastano per la maggior parte degli utenti e riducono il rischio a zero. L’attacco, attribuito a gruppi legati alla Cina per cyber-spionaggio, ricorda casi come SolarWinds: selettivo, stealth e infrastrutturale.
Evoluzione storica di Notepad++ e impegno sociale
Notepad++ non è nuovo a controversie o posizioni forti. La sua storia di rilasci è costellata di aggiornamenti tecnici mescolati a messaggi politici: supporto all’Ucraina (“We are with Ukraine”), Taiwan (“Support Taiwan’s Independence”), boicottaggi come “Boycott Beijing 2022”, e cause umanitarie come “Free Uyghur” o “Pour Samuel Paty”. Versioni come v8.7.3 annunciano l’addio a X per Bluesky, mentre v8.4.4 è l'”Happy Users’ Edition”. Hackeraggi passati, come quello “Je suis Charlie” o il defacement Tiananmen, mostrano un progetto resiliente, sempre rapido nel rispondere.
Dal 2003, Notepad++ ha evoluto da semplice notepad a potente tool con supporto 64-bit, GPG signatures e responsive design. Incidenti come il “CIA Hacking Issue” o il “Dark Side v8” sono stati affrontati con transparency, rafforzando la community su GitHub e nodebb.org.
Technical Deep Dive
Per utenti tecnici, analizziamo i dettagli dell’attacco e le mitigazioni implementate.
Meccanismo dell’attacco:
- Compromissione infrastrutturale: Il provider di hosting condiviso (non divulgato) aveva una vulnerabilità che permise accesso non autorizzato dal giugno 2025. Attaccanti mantennero credenziali fino al 2 dicembre 2025, nonostante blocco il 2 settembre.
- Man-in-the-Middle selettivo: Intercettavano richieste HTTP/HTTPS da WinGUp, sostituendo manifest legittimi con malevoli solo per target specifici (es. IP di organizzazioni). Payload: infostealer via AutoUpdater.exe.
- Bypass verifiche: Certificato self-signed esposto su GitHub permetteva forging. Nessuna verifica firma pre-8.8.9.
Mitigazioni tecniche:
- v8.8.9: Verifica certificato GlobalSign + firma digitale. Download esclusivo da github.com. Interruzione auto se fallisce hash/checksum.
- v8.9.1+: Controlli crittografici rafforzati su gup.exe. Futura v8.9.2: XMLDSig su metadati per anti-spoofing.
- Raccomandazioni avanzate:
- Monitora rete con Wireshark: cerca redirect da notepad-plus-plus.org a domini sospetti.
- Usa YARA rules per scansionare malware simili a noti APT cinesi.
- Implementa GPG per verificare installer:
gpg --verify Notepad++_v8.9.1_Installer_x64.exe.asc. - Per dev: migra a updater con pinned certificate e OCSP stapling.
Impatto e lezioni: Critico (CVSS ~7.5), ma limitato a utenti con auto-update. Provider cambiato per hosting dedicato. Log mostrano tentativi post-fix falliti. Utenti enterprise: audit WinGUp logs in %APPDATA%\Notepad++\updater.
In sintesi, Notepad++ rimane sicuro post-update, ma questo caso evidenzia rischi di supply-chain attacks su open source. Mantieni vigilance e preferisci update manuali per tool critici. (Parole: 1024)
