Subtotal $0.00
Email : 10
Imagine abrir o MacRumors e ver a manchete: “Notepad++ finalmente chega ao Mac após 20 anos”. Você baixa, instala, abre — e tudo parece legítimo. O editor que você usou por anos no Windows, agora nativo no macOS. Só que não. O Notepad++ para Mac nunca existiu oficialmente, e o projeto que enganou a mídia tech inteira tem uma história que mistura engenharia social, licenças open source e um criador furioso.
O que aconteceu, exatamente?
Em 10 de março de 2026, um desenvolvedor chamado Andrey Letov registrou o domínio notepad-plus-plus-mac.org e começou a trabalhar num port do Notepad++ para macOS. A primeira versão pública saiu em 7 de abril. Até aí, nada de errado — o código do Notepad++ é open source sob GPLv3, então qualquer pessoa pode fazer um fork.
O problema veio no que Letov fez além do código.
Ele usou o nome “Notepad++” como se fosse o produto oficial. Colocou a marca registrada no site, no app, nos materiais de divulgação. E, numa jogada que beira a engenharia social clássica, incluiu o nome e a biografia de Don Ho — o criador original do Notepad++ — na página “Sobre o Autor” do projeto. Como se Don Ho estivesse envolvido. Como se tivesse dado seu aval.
Don Ho não sabia de nada.
A reação de Don Ho
Em 1º de maio de 2026, Don Ho publicou um comunicado no site oficial do Notepad++ que não deixou margem para interpretação:
“This site has absolutely nothing to do with Notepad++. It’s not authorized, not endorsed, and not affiliated.”
Ho foi direto: o projeto Mac é uma violação de marca registrada. A licença GPL permite que qualquer pessoa pegue o código-fonte, modifique e redistribua — mas não dá direito de usar o nome “Notepad++”, que é uma marca registrada de Don Ho. Essa distinção entre código e marca é fundamental no mundo open source, e muita gente confunde as duas coisas.
Além da questão legal, Ho levantou preocupações técnicas legítimas:
- Ele não consegue verificar se o port para Mac contém malware ou backdoors
- Não teve tempo hábil para revisar o código inteiro
- Se o port tiver bugs ou falta de funcionalidades, a reputação do Notepad++ original que sofre
- Usuários podem confundir o port com o produto oficial e enviar bug reports para o projeto errado
GPL não é carta branca: código livre, marca protegida
Esse é o ponto que muita gente errou na hora de opinar sobre o caso. Nos comentários do Hacker News — onde a história acumulou mais de 430 pontos — vários desenvolvedores precisaram explicar a diferença:
A GPLv3 dá liberdade sobre o código. Você pode copiar, modificar, distribuir, vender, fazer o que quiser com o código-fonte. Desde que mantenha a mesma licença e distribua o fonte junto.
A marca registrada é outra história. “Notepad++” é uma trademark de Don Ho. Usar esse nome num produto derivado sem autorização é violação de marca, independente da licença do código. É o mesmo princípio que impede alguém de criar um fork do Firefox e chamar de “Firefox” — a Mozilla exige que forks usem outro nome (é por isso que o Debian chamava o Firefox de “Iceweasel” por anos).
| Aspecto | GPL v3 | Marca Registrada |
|---|---|---|
| ——— | ——– | —————– |
| O que protege | Código-fonte | Nome e identidade visual |
| Permite fork? | Sim | Sim, mas com outro nome |
| Permite redistribuição? | Sim, sob mesma licença | Não, sem autorização |
| Quem controla? | A comunidade | O titular da marca |
| Exemplo de violação | Fechar o código | Usar o nome sem permissão |
Esse caso é um lembrete importante: open source não significa open brand.
O port era “vibe coded” — e isso importa
Um detalhe que chamou atenção na discussão do Hacker News é que o port inteiro parece ter sido gerado com ajuda massiva de IA. A comunidade identificou sinais clássicos de “vibe coding”:
- O port foi de zero a uma versão funcional em poucos meses — rápido demais para um trabalho manual sério de portar uma codebase Win32 para Cocoa
- Quando perguntado sobre mudar o logo (algo trivial), Letov disse que levaria “semanas” — o que sugere que ele não entende profundamente o código que supostamente portou
- A página do autor mencionava o uso de “AI agents” no processo de desenvolvimento
Nada contra usar IA para programar. Eu uso, você provavelmente usa, todo mundo usa em 2026. O problema é quando o dev que “criou” o projeto não entende o que está distribuindo. Se amanhã aparecer um bug de segurança crítico nesse port, quem vai consertar? O cara que não consegue trocar um logo sem ajuda?
A comunidade do HN fez paralelos diretos com o incidente do XZ Utils em 2024 — quando um contribuidor malicioso introduziu um backdoor numa biblioteca crítica do Linux. O vetor de ataque era similar: alguém com credenciais duvidosas distribui binários sob um nome confiável.
MacRumors e a mídia que não verificou
Outra camada nessa história é o papel da mídia tech. O MacRumors publicou uma matéria positiva no dia 29 de abril de 2026 com o título “Notepad++ Code Editor Comes to Mac After 20-Year Wait”, tratando o port como se fosse uma conquista legítima da comunidade.
O problema? Ninguém na redação verificou com Don Ho se o projeto tinha alguma relação com o Notepad++ oficial. Ninguém checou se o uso da marca era autorizado. Bastou existir um site bonito e um app funcional para a matéria sair.
Quando Don Ho publicou o comunicado dois dias depois, o MacRumors atualizou o artigo com uma nota no final — mas o estrago já estava feito. Milhares de pessoas baixaram o app acreditando ser oficial.
Isso expõe um problema estrutural na cobertura de tech: a corrida por cliques leva à publicação de qualquer novidade sem a mínima verificação. Quando um projeto open source com marca registrada é clonado e redistribuído com o mesmo nome, a mídia deveria ser a primeira linha de defesa, não cúmplice involuntária.
O que Andrey Letov disse em sua defesa
Letov não sumiu depois da polêmica. Ele anunciou que vai renomear o projeto, trocar o logo e migrar para um domínio novo. Segundo ele, essas mudanças virão na versão 1.0.6 e estão sendo feitas “em consulta com Don Ho”.
A frase exata dele foi:
“I’ll be evolving the branding of the macOS version so it stands on its own while respecting its lineage.”
Don Ho não confirmou publicamente essa “consulta”. E a comunidade ficou dividida: alguns acreditam que Letov agiu de boa-fé e simplesmente não entendeu as implicações legais de usar uma marca registrada. Outros apontam que colocar a biografia de outra pessoa no seu site para fabricar legitimidade não é ingenuidade — é má-fé deliberada.
Detalhes técnicos do port
Para quem ficou curioso sobre o aspecto técnico: o port usou Objective-C++ para substituir a interface Win32 original por APIs nativas do Cocoa. O motor de edição Scintilla (o mesmo que o Notepad++ Windows usa) foi mantido, o que garantiu compatibilidade com syntax highlighting para mais de 80 linguagens.
Recursos do port:
├── Universal Binary (Apple Silicon + Intel)
├── Motor Scintilla (mantido do original)
├── Syntax highlighting (80+ linguagens)
├── Edição em abas
├── Busca e substituição
├── Macros
├── Suporte a plugins
└── Atalhos convertidos para convenções macOS
Tecnicamente, o port parece sólido. Mas “parece” é a palavra-chave aqui. Sem uma auditoria independente do código — algo que Don Ho explicitamente disse não ter tido tempo de fazer — instalar esse binário é um ato de fé.
O histórico de ataques ao Notepad++
Essa não é a primeira vez que o Notepad++ é alvo. O projeto tem uma longa história de tentativas de exploração:
- Sites falsos que distribuem versões com malware aparecem regularmente no Google. Basta pesquisar “notepad++ download” e clicar no resultado errado
- Em 2023, pesquisadores descobriram que o grupo hacker StrongPity distribuiu versões trojanizadas do Notepad++ por meses antes de serem detectadas
- O próprio instalador do Notepad++ já foi alvo de ataques de supply chain, com binários modificados aparecendo em mirrors não oficiais
- Campanhas de phishing usando o nome “Notepad++” já redirecionaram usuários para páginas de download com keyloggers embutidos
Quando você tem um software com mais de 100 milhões de downloads e uma base de usuários que confia cegamente no nome, qualquer projeto que use essa marca sem autorização representa um risco real — mesmo que o autor tenha boas intenções. É o tipo de confiança que leva anos para construir e segundos para explorar.
O paralelo com o caso do XZ Utils é inevitável. Em 2024, um contribuidor chamado “Jia Tan” passou dois anos ganhando confiança na comunidade do projeto antes de inserir um backdoor sofisticado na biblioteca de compressão. O ataque quase comprometeu milhões de servidores Linux e só foi descoberto por acaso, quando um engenheiro da Microsoft notou um aumento de 500ms no tempo de login SSH. A lição dolorosa: confiança baseada em nome e aparência, sem verificação técnica, é a vulnerabilidade mais antiga da engenharia de software.
As credenciais questionáveis de Letov
Outro ponto que a comunidade do Hacker News investigou foi o background do próprio Andrey Letov. Seu site pessoal lista experiência em empresas como Moody’s, BNY Mellon, AxiomSL e American Express — nomes de peso que passam credibilidade instantânea.
O problema: toda a presença online de Letov tem cerca de um mês de idade. Perfis criados recentemente, sem histórico verificável em repositórios públicos, sem commits em projetos open source antes deste. Vários usuários do HN que trabalham ou trabalharam nessas empresas disseram que não conseguiram confirmar o nome dele em diretórios internos.
Isso não prova nada, claro. Pode ser alguém que simplesmente nunca teve presença pública na internet. Mas somado ao uso não autorizado da marca, à impersonação de Don Ho e ao código aparentemente gerado por IA, o perfil completo levanta mais perguntas do que respostas.
O que isso ensina para o ecossistema open source
Eu vejo pelo menos três lições aqui:
1. Registre sua marca. Se você mantém um projeto open source popular, registrar o nome como marca é tão importante quanto escolher a licença certa. A GPL protege seu código. A trademark protege sua identidade.
2. Forks precisam de identidade própria. O LibreOffice não se chama “OpenOffice Fork”. O Brave não se chama “Chromium Browser”. Quando você faz um fork, o mínimo esperado é criar sua própria marca. Isso não é burocracia — é respeito pelo trabalho original e transparência com os usuários.
3. Audite antes de instalar. Em 2026, com vibe coding acelerando a criação de projetos e a IA gerando código que nem o autor entende, a responsabilidade de verificação caiu no usuário. Antes de instalar qualquer coisa, pergunte: quem está por trás disso? O projeto tem histórico? O uso da marca é legítimo?
Alternativas reais para quem quer um editor no Mac
Se você migrou do Windows para o Mac e sente falta do Notepad++, existem alternativas legítimas e excelentes:
| Editor | Licença | Destaques |
|---|---|---|
| ——– | ——— | ———– |
| CotEditor | Open source | Nativo macOS, leve, rápido |
| VS Code | MIT (Microsoft) | Extensões, debugging integrado |
| Sublime Text | Proprietário | Performance absurda, UI mínima |
| Nova | Proprietário (Panic) | Nativo macOS, design impecável |
| Zed | Open source | Rust, colaboração em tempo real |
| BBEdit | Proprietário | Veterano, texto puro sem frescura |
Cada um desses tem desenvolvedores identificáveis, histórico verificável e comunidades ativas. Nenhum precisou roubar o nome de outro projeto para ganhar tração.
E agora?
Don Ho aguarda que Letov cumpra a promessa de renomear o projeto. Se isso acontecer, a história pode ter um final amigável — um fork legítimo com nome próprio, competindo por mérito e não por confusão de marca.
Se não acontecer, o caminho legal está aberto. Violação de trademark é algo que tribunais levam muito a sério, especialmente quando há evidência de impersonação deliberada (a biografia de Don Ho no site).
Para nós devs, o recado é claro: código aberto não é marca aberta. E na próxima vez que um site bonito anunciar a versão Mac de um software que você ama, talvez valha a pena verificar com o criador original antes de clicar em “Download”.
Fonte de inspiração: Trademark violation: Fake Notepad++ for Mac
