Notepad++ ahora con doble protección: los hackers tendrán que buscar otra víctima si ya actualizaste.
El creador del proyecto recurrió a medidas drásticas para proteger la reputación del "Bloc Popular".
Los desarrolladores de Notepad++ publicaron actualización de seguridad 8.9.2 para cerrar vulnerabilidades que fueron explotadas por un grupo avanzado con vínculos en China. Los atacantes interceptaban el mecanismo de actualizaciones y, de forma selectiva, entregaban archivos maliciosos a quienes les interesaban.
El mantenedor del proyecto Don Ho informó que en la actualización aplicaron un esquema de «doble bloqueo» que debería hacer la cadena de actualización resistente a la suplantación. Se trata de dos comprobaciones: en las versiones 8.8.9 y posteriores Notepad++ ya verifica la firma del instalador descargado desde GitHub, y en la 8.9.2 añadieron la verificación de la firma del XML que devuelve el servidor de actualizaciones en notepad-plus-plus.org.
Además reforzaron el componente de autoactualización WinGUp. Eliminó(libcurl.dll), para reducir el riesgo de carga de una biblioteca suplantada, se descartaron dos ajustes SSL inseguros de cURL y se limitaron las operaciones de gestión de complementos solo a programas firmados con el mismo certificado que WinGUp.
En la 8.9.2 también corrigieron la vulnerabilidad de alta gravedad CVE-2026-25926 con una puntuación CVSS de 7.3. Está relacionada con una ruta de búsqueda insegura al iniciar el Explorador de Windows sin la ruta absoluta al ejecutable. Si un atacante controla el directorio de trabajo del proceso, en ciertas condiciones esto podría llevar al lanzamiento de un explorer.exe falso y a la ejecución de código arbitrario en el contexto de la aplicación en ejecución.
El problema de la suplantación de actualizaciones de Notepad++ se informó hace varias semanas. Según el proyecto, la compromisión en el lado del proveedor de alojamiento permitió a los atacantes, desde junio de 2025, interceptar el tráfico de actualizaciones y redirigir las solicitudes de usuarios concretos a servidores maliciosos, donde se entregaba una actualización comprometida. El incidente se detectó a principios de diciembre de 2025.
Rapid7 y Kaspersky Lab relacionaron las actualizaciones suplantadas con la entrega de un backdoor hasta entonces no descrito, Chrysalis. Este incidente de la cadena de suministro se rastrea como CVE-2025-15556 con una puntuación CVSS de 7.7, y la atribución se vincula con el grupo Lotus Panda.
Se recomienda a los usuarios de Notepad++ pasar a la versión 8.9.2 y descargar los instaladores únicamente desde el dominio oficial del proyecto.