Notepad Hacked

El responsable del mantenimiento de Notepad++ ha revelado que atacantes patrocinados por el estado secuestraron el mecanismo de actualización de la utilidad para redirigir el tráfico de actualizaciones a servidores maliciosos.

«El ataque implicó [un] compromiso a nivel de infraestructura que permitió a actores malintencionados interceptar y redirigir el tráfico de actualizaciones destinado a notepad-plus-plus.org», dijo el desarrollador Don Ho dijo . «El problema se produjo a nivel del proveedor de alojamiento y no a causa de vulnerabilidades en el propio código de Notepad++».

El mecanismo exacto a través del cual se realizó esto se está investigando actualmente, agregó Ho.

El desarrollo llega poco más de un mes después de Notepad++ publicado versión 8.8.9 para solucionar un problema que provocaba que el tráfico de WingUp, el actualizador de Notepad++, se redirigiera «ocasionalmente» a dominios maliciosos, lo que provocaba la descarga de ejecutables envenenados.

En concreto, el problema se debía a la forma en que el actualizador verificaba la integridad y la autenticidad del archivo de actualización descargado, lo que permitía a un atacante que pudiera interceptar el tráfico de red entre el cliente del actualizador y el servidor de actualizaciones engañar a la herramienta para que descargara un binario diferente.

Se cree que esta redirección fue muy específica, ya que el tráfico originado solo por ciertos usuarios se dirigió a los servidores no autorizados y obtuvo los componentes maliciosos. Se estima que el incidente comenzó en junio de 2025, más de seis meses antes de que saliera a la luz.

El investigador de seguridad independiente Kevin Beaumont reveló que los actores de amenazas en China estaban explotando la falla para secuestrar redes y engañar a los objetivos para que descargaran malware. En respuesta al incidente de seguridad, el sitio web Notepad++ se ha migrado a un nuevo proveedor de alojamiento.

«Según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025", explicó Ho. «Incluso después de perder el acceso al servidor, los atacantes mantuvieron sus credenciales de acceso a los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualizaciones de Notepad++ a servidores maliciosos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.