Compromiso del mecanismo de actualización de Notepad++ expone a usuarios a ma…
Publicado el
Compromiso del mecanismo de actualización de Notepad++
Recientemente, se ha revelado que el mecanismo de actualización de Notepad++ ha sido comprometido por atacantes respaldados por un estado, quienes redirigieron el tráfico de actualizaciones hacia servidores maliciosos. Don Ho, el desarrollador del software, explicó que este ataque implicó un compromiso a nivel de infraestructura que permitió a los actores maliciosos interceptar y desviar el tráfico de actualizaciones destinado a notepad-plus-plus.org.
El ataque no se debió a vulnerabilidades en el código de Notepad++, sino que se produjo en el nivel del proveedor de alojamiento. Actualmente, se está investigando el método específico utilizado para llevar a cabo esta violación.
Detalles del ataque
Este incidente se produce poco después del lanzamiento de la versión 8.8.9 de Notepad++, que abordó un problema anterior en el que el tráfico del actualizador, WinGUp, era redirigido ocasionalmente a dominios maliciosos, lo que resultaba en la descarga de ejecutables envenenados. El problema radicaba en cómo el actualizador verificaba la integridad y autenticidad del archivo de actualización descargado, lo que permitía a un atacante interceptar el tráfico de red entre el cliente del actualizador y el servidor de actualizaciones, engañando a la herramienta para que descargara un binario diferente.
Se cree que esta redirección fue altamente dirigida, afectando únicamente a ciertos usuarios que fueron enviados a los servidores maliciosos para obtener los componentes dañinos. Se estima que el incidente comenzó en junio de 2025, más de seis meses antes de que se hiciera público.
Implicaciones del ataque
Según el investigador de seguridad independiente Kevin Beaumont, la vulnerabilidad fue explotada por actores de amenazas en China para apoderarse de redes y engañar a los objetivos para que descargaran malware. Como respuesta a este incidente de seguridad, el sitio web de Notepad++ ha sido trasladado a un nuevo proveedor de alojamiento.
Ho también mencionó que, según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025. Incluso después de perder acceso al servidor, los atacantes mantuvieron credenciales de servicios internos hasta el 2 de diciembre de 2025, lo que les permitió continuar redirigiendo el tráfico de actualizaciones de Notepad++ a servidores maliciosos.
Este ataque resalta la importancia de la seguridad en la cadena de suministro y la necesidad de que los usuarios y desarrolladores de software permanezcan alertas ante posibles compromisos de su infraestructura.
La situación actual subraya la vulnerabilidad de los sistemas de actualización de software, que son un vector crítico para la distribución de malware. Los usuarios de Notepad++ deben ser cautelosos y asegurarse de que sus sistemas estén actualizados y protegidos contra posibles amenazas.