Notepad++ svela dettagli sulla vulnerabilità di WinGup
Topic
Approfondimenti
Trending
tutti

Notepad++ svela dettagli sulla vulnerabilità di WinGup

Lo sviluppatore di Notepad++ ha fornito maggiori dettagli sull'attacco di hijacking sfruttato per installare un malware all'insaputa degli utenti.
Notepad++ svela dettagli sulla vulnerabilità di WinGup
Sicurezza Informatica App e Software
Lo sviluppatore di Notepad++ ha fornito maggiori dettagli sull'attacco di hijacking sfruttato per installare un malware all'insaputa degli utenti.
Wikipedia

Don Ho, sviluppatore di Notepad++, ha pubblicato un aggiornamento sull’attacco di hijacking effettuato sfruttando una vulnerabilità di WinGup, il tool che consente il download delle nuove versioni del popolare editor open source. Il dirottamento del traffico non è stato causato da un bug nel codice di Notepad++, ma dall’intrusione nei sistema del provider di hosting.

Descrizione dell’attacco e soluzione

WinGup è il tool usato da Notepad++ per cercare la disponibilità online della versione aggiornata ed effettuare il download automatico. Le richieste al server ufficiale sono state dirottate verso un server controllato dai cybercriminali, dal quale è stato scaricato un file AutoUpdater.exe fasullo che conteneva un infostealer.

A causa della vulnerabilità presente in Notepad++, corretta con la versione 8.8.9, non venivano verificati certificato e firma dell’installer. Ulteriori protezioni verranno incluse nella versione 8.9.2 (quella più recente è 8.9.1). Lo sviluppatore ha spiegato che non si conosce ancora l’esatta tecnica usata dai cybercriminali (quasi certamente cinesi), ma il dirottamento del traffico (hijacking) è correlato all’intrusione nei sistemi dell’ex provider di hosting.

Il suddetto file era ospitato su un server di hosting condiviso. L’attacco è iniziato a giugno 2025. Il server è stato compromesso dai cybercriminali con l’intenzione di intercettare il traffico proveniente da Notepad++ (hanno cercato solo il suo dominio). Il provider ha bloccato l’accesso al server il 2 settembre 2025, ma i cybercriminali hanno mantenuto le credenziali dei servizi interni fino al 2 dicembre e continuato ad effettuare il redirecting verso il loro server.

Lo sviluppatore di Notepad++ ha successivamente scelto un provider che offre maggiori protezioni. Questo cambiamento, insieme alla verifica di firma e certificato, dovrebbe risolvere definitivamente il problema. Gli utenti possono disattivare l’aggiornamento automatico durante la configurazione iniziale e scaricare le nuove versioni dal sito ufficiale.

Fonte: Notepad++

Pubblicato il 2 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

Live distant child abuse: la rete degli orrori

Live distant child abuse: la rete degli orrori
ShinyHunters: furto di dati con attacco di vishing

ShinyHunters: furto di dati con attacco di vishing
Attacco hacker contro La Sapienza: sito offline

Attacco hacker contro La Sapienza: sito offline
TikTok USA: utenti temono la propaganda MAGA

TikTok USA: utenti temono la propaganda MAGA
Live distant child abuse: la rete degli orrori

Live distant child abuse: la rete degli orrori
ShinyHunters: furto di dati con attacco di vishing

ShinyHunters: furto di dati con attacco di vishing
Attacco hacker contro La Sapienza: sito offline

Attacco hacker contro La Sapienza: sito offline
TikTok USA: utenti temono la propaganda MAGA

TikTok USA: utenti temono la propaganda MAGA
Luca Colantuoni
Pubblicato il
2 feb 2026
Link copiato negli appunti