Actualización traicionera: hackers convierten a Notepad++ en un «soplón» que delata a sus propios usuarios

Notepad++ lanzó la versión 8.8.9 para cerrar una vulnerabilidad en el mecanismo de actualización WinGUp (GUP.exe): investigadores y usuarios informaron incidentes en los que el actualizador, en lugar del instalador legítimo, descargaba y ejecutaba un archivo ejecutable ajeno desde la carpeta temporal. Como resultado, en las máquinas infectadas aparecía %Temp%\AutoUpdater.exe, que realizaba reconocimiento del sistema y trataba de exfiltrar los datos recopilados.

La primera señal de alarma surgió en un hilo del foro de la comunidad Notepad++: según según un usuario, un AutoUpdater.exe desconocido ejecutaba comandos como netstat -ano, systeminfo, tasklist, whoami, guardaba la salida en el archivo a.txt y luego la enviaba al servicio temp[.]sh mediante curl.exe. Dado que WinGUp usa la biblioteca libcurl (y no el curl.exe externo) y no debería recopilar ese tipo de información, los participantes del debate plantearon que podría tratarse bien de la instalación de una compilación no oficial de Notepad++, bien de la intercepción o suplantación del tráfico de actualizaciones.

El escenario de intercepción parece técnicamente verosímil: al comprobar actualizaciones, Notepad++ se dirige a https://notepad-plus-plus.org/update/getDownloadUrl.php?version=&lt;номер&gt, y el servidor responde con un XML que contiene el campo <Location>, donde está el enlace al instalador. Si alguien puede intervenir en la cadena de distribución y reemplazar la URL en <Location>, el actualizador descargará "lo que se indicó" en lugar de lo esperado.

El experto Kevin Beaumont informó que conocía al menos tres organizaciones donde se relacionaron incidentes con una instalación de Notepad++: según él, allí se observó actividad de tipo "hands-on keyboard" (reconocimiento manual ya dentro de la red), y los intereses de las empresas afectadas estaban vinculados a Asia Oriental, lo que parece ruido puntual y no masivo. Al mismo tiempo, señaló por separado una variante más banal: la distribución de compilaciones troyanizadas a través de publicidad y páginas de descarga falsas, algo frecuente en utilidades populares.

El desarrollador de Notepad++ Don Ho publicó primero la 8.8.8 (18 de noviembre) para reducir parte del riesgo: las actualizaciones pasaron a descargarse solo desde GitHub. Y en la 8.8.9 (9 de diciembre) se implementó una protección más estricta: ahora WinGUp verifica la firma y el certificado del instalador descargado, y si la verificación falla, la instalación de la actualización se interrumpe. Al mismo tiempo, el equipo del proyecto subraya que la investigación sobre la causa de la suplantación del tráfico continúa.

Se aconseja a los usuarios actualizar a 8.8.9 y descargar los distribuidos solo desde fuentes oficiales. En la notificación también recuerdan que desde la versión 8.8.7 los binarios e instaladores oficiales están firmados con un certificado vigente, y a quienes en su momento añadieron un certificado raíz personalizado para escenarios antiguos se les recomienda eliminarlo para no ampliar la superficie de ataque.