Atores de Estado-Nação exploram cadeia de suprimentos do Notepad++

O grupo Lotus Blossom comprometeu a infraestrutura de hospedagem do Notepad++ entre junho e dezembro de 2025. Eles sequestraram o servidor de atualização para distribuir seletivamente instaladores maliciosos a alvos nos setores governamental, de telecomunicações e de infraestrutura crítica no Sudeste Asiático, América do Sul, EUA e Europa. O ataque empregou duas cadeias de infecção: uma variante de injeção de script Lua, que implantava beacons Cobalt Strike, e uma variante de DLL sideloading, que utilizava um componente renomeado do Bitdefender para carregar o backdoor Chrysalis com técnicas de evasão protegidas por Warbird. Recomenda-se que os usuários atualizem manualmente para o Notepad++ v8.9.1 ou posterior, que inclui verificação de certificado e assinatura para instaladores baixados.