Sei mesi di compromissione silenziosa, migliaia di utenti esposti a rischi concreti, e un malware capace di registrare ogni battitura sulla tastiera: è questo il bilancio allarmante del cyberattacco che ha colpito Notepad++, software tra i più apprezzati nel mondo dell’editing di testo. A rivendicare l’operazione, gruppi identificati come legati a interessi governativi di Pechino, portando la vicenda su un piano geopolitico che va ben oltre la semplice criminalità informatica.
La rivelazione è arrivata in modo improvviso dalla voce di Don Ho, storico sviluppatore e volto di Notepad++. Il suo progetto, pilastro per milioni di utenti e sviluppatori, è stato vittima di una campagna sofisticata che ha visto la compromissione dei server di hosting condivisi per un arco temporale che va da giugno a dicembre 2025. In questo periodo, gli attaccanti hanno potuto operare indisturbati, selezionando con precisione chirurgica le vittime e indirizzandole verso aggiornamenti malevoli distribuiti tramite manifesti contraffatti, contenenti eseguibili infetti.
Gli esperti di sicurezza informatica, tra cui il noto ricercatore indipendente Kevin Beaumont, hanno tracciato un collegamento diretto tra l’attacco e le attività di hacker cinesi legati ad apparati statali. Il malware impiegato, oggetto di un’analisi dettagliata, si è rivelato dotato di capacità avanzate: non solo era in grado di garantire accesso remoto al sistema infetto, ma soprattutto poteva intercettare ogni sequenza di tasti digitata, rendendo vulnerabili password, dati sensibili e informazioni strategiche.
Ciò che distingue questa offensiva da altre più comuni è la selettività dei bersagli. Non si è trattato di un attacco massivo finalizzato a colpire indiscriminatamente il maggior numero di dispositivi, ma di una vera e propria operazione di spionaggio mirata, focalizzata su organizzazioni e individui con interessi o ruoli di rilievo nell’Asia orientale. Questa strategia evidenzia una motivazione squisitamente geopolitica, in cui la raccolta di informazioni sensibili e l’indebolimento di determinati soggetti assumono un ruolo centrale, superando di gran lunga la semplice ricerca di profitto economico.
La cronologia degli eventi si intreccia con precedenti significativi. Nel 2019, Don Ho aveva lanciato la “Free Uyghur edition” di Notepad++, prendendo una posizione pubblica e critica contro le politiche cinesi nei confronti della minoranza uigura. Questa scelta coraggiosa aveva scatenato una serie di attacco DDoS contro il progetto, segnando un precedente di tensione che oggi sembra trovare una sua inquietante continuità nella nuova compromissione. L’attuale operazione, più sofisticata e prolungata, appare come una risposta calcolata e paziente, a dimostrazione di come le vulnerabilità dei software open-source possano essere sfruttate come strumenti di pressione e ritorsione in scenari di confronto internazionale.
A seguito della scoperta, il team di sviluppo ha reagito con prontezza. La versione 8.8.9 di Notepad++ introduce meccanismi di verifica dell’autenticità degli aggiornamenti ancora più stringenti, offrendo agli utenti un livello di protezione superiore. Gli sviluppatori raccomandano caldamente di scaricare sempre le nuove release direttamente dal sito ufficiale, evitando fonti di terze parti. Particolare attenzione va riservata al monitoraggio del processo gup.exe, responsabile della gestione degli aggiornamenti, e alla presenza nella cartella TEMP di file sospetti come “update.exe” o “AutoUpdater.exe”, potenziali indicatori di compromissione.
Questo episodio rappresenta un monito chiaro e potente per l’intera comunità del software: nemmeno le applicazioni open-source più diffuse e affidabili possono considerarsi immuni da attacchi mirati e operazioni di spionaggio sostenute da apparati statali. Le minacce informatiche sponsorizzate dai governi non sono più un’eccezione, ma una componente strutturale e quotidiana del panorama della sicurezza informatica globale. L’attenzione, la prudenza e l’aggiornamento costante rimangono gli unici strumenti efficaci per difendersi da un rischio che, come dimostra il caso Notepad++, può colpire chiunque, in qualsiasi momento.
