Comprometen el mecanismo de actualización de Notepad++ para distribuir malware dirigido

El desarrollador del popular editor de texto confirma que actores estatales secuestraron la infraestructura de su antiguo proveedor de hosting para redirigir el tráfico de actualizaciones hacia servidores maliciosos.

En un grave incidente de seguridad en la cadena de suministro, el mantenedor de Notepad++, Don Ho, reveló que atacantes respaldados por un Estado lograron comprometer el mecanismo de actualización oficial de la herramienta. El ataque no se debió a vulnerabilidades en el código del software, sino a una brecha de seguridad a nivel de infraestructura en su proveedor de alojamiento.

Según las declaraciones de Don Ho, los atacantes interceptaron y redirigieron el tráfico destinado a notepad-plus-plus.org, enviando a usuarios seleccionados hacia servidores controlados por los criminales. "El compromiso ocurrió a nivel del proveedor de hosting, permitiendo a los actores maliciosos redirigir el tráfico de actualización", explicó el desarrollador.

Un ataque dirigido y prolongado

Las investigaciones indican que esta campaña de redirección no fue masiva, sino altamente selectiva. El tráfico de ciertos usuarios específicos fue enrutado hacia dominios fraudulentos para descargar ejecutables "envenenados". Se estima que la operación comenzó en junio de 2025, permaneciendo activa y sin ser detectada durante más de seis meses.

El investigador independiente de seguridad Kevin Beaumont vinculó esta actividad con actores de amenazas con base en China, quienes habrían explotado la falla para infiltrarse en redes objetivo y engañar a las víctimas para que instalaran malware bajo la apariencia de una actualización legítima.

Cronología del compromiso

A pesar de que el servidor de hosting compartido estuvo comprometido hasta el 2 de septiembre de 2025, los atacantes lograron mantener credenciales de servicios internos hasta el 2 de diciembre de 2025. Esto les permitió continuar manipulando el tráfico de actualizaciones incluso después de que el proveedor original creyera haber recuperado el control.

En respuesta a la gravedad de los hechos, el equipo de Notepad++ tomó las siguientes medidas:

1. Migración total: El sitio web oficial y los servicios de actualización se han trasladado a un nuevo proveedor de hosting más seguro.

2. Parche de seguridad: Se lanzó la versión 8.8.9 para corregir deficiencias en WinGUp (el actualizador de Notepad++), mejorando la forma en que la herramienta verifica la integridad y autenticidad de los archivos descargados.

Los expertos recomiendan a todos los usuarios asegurarse de estar utilizando la versión más reciente del software y verificar que las actualizaciones provengan exclusivamente de la nueva infraestructura oficial para mitigar cualquier riesgo residual derivado de este secuestro de tráfico.