Notepad++ Corrige Mecanismo de Actualización Secuestrado para Evitar Malware
Publicado el
Actualización Crítica de Notepad++
Notepad++ ha lanzado una actualización de seguridad para mitigar vulnerabilidades que fueron aprovechadas por un avanzado grupo de amenazas de origen chino. Este grupo utilizó el mecanismo de actualización del software para entregar malware de forma selectiva a objetivos específicos.
La nueva versión, 8.9.2, incluye un diseño denominado "doble bloqueo", que busca hacer el proceso de actualización más robusto e ineficaz para los atacantes. Esta mejora implica la verificación del instalador firmado descargado de GitHub, una medida que fue implementada en versiones anteriores (a partir de la 8.8.9), junto con una nueva verificación del XML firmado devuelto por el servidor de actualizaciones de notepad-plus-plus[.]org.
Además de estas mejoras, se han introducido cambios centrados en la seguridad en WinGUp, el componente de actualización automática. Las modificaciones incluyen: - Eliminación de libcurl.dll para mitigar el riesgo de DLL side-loading. - Eliminación de dos opciones SSL inseguras de cURL: CURLSSLOPT_ALLOW_BEAST y CURLSSLOPT_NO_REVOKE. - Restricción de la ejecución del gestor de plugins a programas firmados con el mismo certificado que WinGUp.
Vulnerabilidades Críticas Abordadas
La actualización también aborda una vulnerabilidad de alta gravedad (CVE-2026-25926, con un puntaje CVSS de 7.3) que podría permitir la ejecución de código arbitrario en el contexto de la aplicación en ejecución. Según Don Ho, mantenedor de Notepad++, existe una vulnerabilidad de Ruta de Búsqueda Insegura (CWE-426) al lanzar Windows Explorer sin una ruta ejecutable absoluta. Esto podría permitir la ejecución de un explorer.exe malicioso si un atacante controla el directorio de trabajo del proceso, lo que bajo ciertas condiciones podría conducir a la ejecución de código arbitrario.
Esta situación se produce semanas después de que Notepad++ revelara que una brecha a nivel de proveedor de hosting permitió a los actores de amenazas secuestrar el tráfico de actualizaciones desde junio de 2025 y redirigir las solicitudes de ciertos usuarios a servidores maliciosos, lo que resultó en una actualización envenenada. El problema fue detectado a principios de diciembre de 2025.
Según informes de Rapid7 y Kaspersky, las actualizaciones manipuladas permitieron a los atacantes entregar una puerta trasera previamente no documentada denominada Chrysalis. Este incidente de la cadena de suministro se ha registrado bajo el identificador CVE-2025-15556 (puntuación CVSS de 7.7) y ha sido atribuido a un grupo de hackers vinculado a China conocido como Lotus Panda.
Los usuarios de Notepad++ son recomendados a actualizar a la versión 8.9.2 y asegurar que los instaladores se descarguen desde el dominio oficial.