Tu Notepad++ favorito ahora trae una sorpresa de los servicios de inteligencia chinos
Desarrollador de un editor de texto alerta: hackers estatales han comprometido la infraestructura del proyecto
El desarrollador del popular editor de texto Notepad++ informó sobre un grave incidente de seguridad que afectó al sistema de actualizaciones del programa. Los atacantes, vinculados a entidades estatales, pudieron interceptar el mecanismo de verificación de actualizaciones y redirigieron a los usuarios a servidores maliciosos en lugar del sitio oficial.
El creador del proyecto, Don Ho, explicó que el ataque no se debió a un error en el código de la aplicación. Según dijo, se comprometió la infraestructura del proveedor de alojamiento. Esto permitió a los atacantes interceptar y redirigir el tráfico de la red destinado al dominio notepad-plus-plus.org. Aún se está investigando la forma exacta en que se llevó a cabo el ataque.
Hace aproximadamente un mes se lanzó la versión Notepad++ 8.8.9, en la que ya se solucionó el problema con el módulo de actualización WinGUp. Entonces se comprobó que en algunos casos este se conectaba a dominios maliciosos y podía descargar archivos ejecutables suplantados. La causa estaba en el mecanismo de verificación de la integridad y autenticidad de las actualizaciones descargadas. Si un atacante podía interceptar la conexión de red entre el programa y el servidor de actualizaciones, podía sustituir el archivo por otro contenido binario.
Según la estimación disponible, la redirección de tráfico fue selectiva y afectó solo a una parte de los usuarios. Sus solicitudes se enviaban a servidores falsos, desde donde se descargaban componentes maliciosos. Se presume que el ataque comenzó en junio de 2025 y permaneció sin ser detectado durante más de medio año.
El investigador de seguridad independiente Kevin Beaumont informó que la vulnerabilidad fue explotada por grupos de hackers de China. Con ella interceptaban las conexiones de red y trataban de forzar a las víctimas a instalar programas maliciosos. Tras descubrirse el incidente, el sitio de Notepad++ se trasladó a otro proveedor de alojamiento.
Según precisó el desarrollador, según datos del proveedor anterior, el servidor compartido de alojamiento permaneció comprometido hasta el 2 de septiembre de 2025. Incluso después de perder el acceso directo al servidor, los atacantes conservaron credenciales de servicios internos hasta el 2 de diciembre de 2025. Esto les permitió seguir redirigiendo las solicitudes de actualización del programa hacia recursos maliciosos.