Notepad++ ha publicado una solución de seguridad para cubrir las brechas que un actor de amenazas avanzado de China aprovechó para secuestrar el mecanismo de actualización de software y enviar malware de forma selectiva a objetivos de interés.

El actualización a la versión 8.9.2 incorpora lo que mantiene Don Ho llamadas un diseño de «doble bloqueo» que tiene como objetivo hacer que el proceso de actualización sea «robusto y efectivamente inexplotable». Esto incluye la verificación del instalador firmado descargado de GitHub (implementado en la versión 8.8.9 y posteriores), así como la verificación recientemente agregada del XML firmado devuelto por el servidor de actualizaciones en notepad-plus-plus [.] org.

Además de estas mejoras, se han introducido cambios centrados en la seguridad en WingUp, el componente de actualización automática -

  • Eliminación de libcurl.dll para eliminar el riesgo de carga lateral de DLL
  • Eliminación de dos opciones SSL de cURL no seguras: CURLSSLOPT_ALLOW_BEAST y CURLSSLOPT_NO_REVOKE
  • Restricción de la ejecución de la administración de complementos a los programas firmados con el mismo certificado que WinGup
adsense

La actualización también corrige una vulnerabilidad de alta gravedad (CVE-2026-25926, puntuación CVSS: 7.3) que podría provocar la ejecución de código arbitrario en el contexto de la aplicación en ejecución.

«Una vulnerabilidad de ruta de búsqueda insegura ( CWE-426 ) existe al iniciar el Explorador de Windows sin una ruta ejecutable absoluta», Ho dijo . «Esto puede permitir la ejecución de un archivo explorer.exe malicioso si un atacante puede controlar el directorio de trabajo del proceso. En determinadas condiciones, esto podría provocar la ejecución de código arbitrario en el contexto de la aplicación en ejecución».

La novedad se produce semanas después de que Notepad++ revelara que una brecha en el nivel del proveedor de alojamiento permitió a los actores de amenazas secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir las solicitudes de ciertos usuarios a servidores maliciosos para publicar una actualización envenenada. El problema se detectó a principios de diciembre de 2025.

Según Rapid7 y Kaspersky, las actualizaciones manipuladas permitieron a los atacantes lanzar una puerta trasera previamente indocumentada denominada Crisálida . El incidente de la cadena de suministro, rastreado con el identificador CVE CVE-2025-15556 (puntuación CVSS: 7,7), se ha atribuido a un grupo de hackers con nexos con China llamado Lotus Panda.

Se recomienda a los usuarios de Notepad++ que actualicen a la versión 8.9.2 y que se aseguren de que los instaladores se descargan del dominio oficial.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.