El responsable de Notepad++ ha revelado que atacantes patrocinados por el estado secuestraron el mecanismo de modernización de la utilidad para redirigir el tráfico de actualizaciones a servidores maliciosos.
“El ataque implicó (un) compromiso a nivel de infraestructura que permitió a actores maliciosos interceptar y redirigir el tráfico de modernización destinado a notepad-plus-plus.org”, dijo el desarrollador Don Ho. “El compromiso se produjo a nivel del proveedor de alojamiento y no a través de vulnerabilidades en el código de Notepad++”.
Actualmente se está investigando el mecanismo exacto a través del cual se logró esto, añadió Ho.
El incremento se produce poco más de un mes luego de que Notepad++ lanzara la traducción 8.8.9 para solucionar un problema que provocaba que el tráfico de WinGUp, el actualizador de Notepad++, fuera “ocasionalmente” redirigido a dominios maliciosos, lo que provocaba la descarga de ejecutables envenenados.
Específicamente, el problema surgió de la forma en que el actualizador verificó la integridad y autenticidad del archivo de modernización descargado, lo que permitió a un atacante capaz de interceptar el tráfico de red entre el cliente del actualizador y el servidor de modernización engañar a la útil para que descargara un binario diferente.
Se cree que esta redirección estaba muy dirigida, ya que el tráfico procedente sólo de ciertos usuarios se enrutaba a los servidores fraudulentos y recuperaba los componentes maliciosos. Se estima que el incidente comenzó en junio de 2025, más de seis meses ayer de que saliera a la luz.
El investigador de seguridad independiente Kevin Beaumont reveló que la rotura estaba siendo explotada por actores de amenazas en China para secuestrar redes y engañar a los objetivos para que descargaran malware. En respuesta al incidente de seguridad, el sitio web Notepad++ se migró a un nuevo proveedor de alojamiento.
“Según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025”, explicó Ho. “Incluso luego de perder el entrada al servidor, los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió continuar redirigiendo el tráfico de modernización de Notepad++ a servidores maliciosos”.
