Secuestro de actualizaciones de Notepad++: qué nos enseña esta filtración de seis meses sobre la confianza en los actualizadores

Notepad++ afirma que su tráfico de actualizaciones fue interceptado durante meses en 2025, donde los atacantes interceptaron y redirigieron selectivamente a algunos usuarios a infraestructura maliciosa. BleepingComputer informa que la vulnerabilidad comenzó en junio de 2025 y finalizó el 2 de diciembre, después de que el proveedor de alojamiento detectara la brecha y cortara el acceso.

El incidente es un recordatorio útil de que la "descarga a través de HTTPS" no es un caso de seguridad completo. Los sistemas de actualización requieren una verificación sólida de extremo a extremo, ya que la infraestructura en la que confía puede ser la que se vea comprometida.

Lo que explotaron los atacantes

BleepingComputer describe una brecha en los controles de verificación de actualizaciones en versiones anteriores de Notepad++, lo que permite a los atacantes servir manifiestos de actualización manipulados y redirigir descargas.

Según se informa, la campaña fue estrecha y selectiva, acorde con un actor que se preocupa más por el acceso a objetivos específicos que por la distribución masiva.

La cronología importa:

• Compromiso inicial en junio de 2025
• Interrupción temporal a principios de septiembre después de las actualizaciones del kernel/firmware
• Acceso continuo mediante credenciales internas robadas hasta el 2 de diciembre

Ese paso de “las credenciales sobrevivieron a la remediación” es una falla clásica en respuesta a incidentes: parchar el servidor no es suficiente si el atacante ya tiene claves.

Qué cambió Notepad++ después del incidente

BleepingComputer informa que Notepad++ migró clientes a un nuevo proveedor de alojamiento, rotó credenciales y mejoró la verificación.

A partir de la versión 8.8.9, WinGUP:

• Verifica los certificados y firmas del instalador
• Utiliza XML de actualización firmado criptográficamente

El proyecto también planea implementar la verificación obligatoria de la firma del certificado en la versión 8.9.2.

Esa progresión (controles opcionales → controles más estrictos → controles obligatorios) es exactamente cómo la distribución de software debería fortalecerse con el tiempo.

El ángulo del malware: Chrysalis y la atribución

BleepingComputer hace referencia a una investigación de Rapid7 que atribuye una campaña relacionada a un grupo APT chino conocido como Lotus Blossom (también descrito con otros alias) y una puerta trasera personalizada de Rapid7 llamada "Chrysalis".

En incidentes específicos de la cadena de suministro, la carga útil suele ser personalizada. Por eso, la defensa clave no es "detectar este malware exacto", sino "dificultar la entrega de cualquier carga útil no autorizada a través del actualizador".

Qué deberían hacer las organizaciones de manera diferente

Si administra software en un entorno empresarial, este incidente indica algunos errores defensivos:

1. Evite las actualizaciones automáticas del consumidoren sistemas críticos siempre que sea posible.
2. Utilice la distribución de software administrada(paquetes firmados en repositorios internos, Intune/SCCM, etc.).
3. Pin y verificar firmaspara instaladores y actualizaciones.
4. Monitorear las “rutas de actualización”como infraestructura crítica: DNS, políticas de inspección de TLS, comportamiento del proxy y cadenas de ejecución de puntos finales

Si eres un usuario individual, los pasos prácticos son más sencillos:

• Actualice a una versión actual de Notepad++ desde el sitio oficial
• Desconfíe de los mensajes de actualización que no se parecen al instalador normal.
• Evite los anuncios de "descargar ahora" en los resultados de búsqueda que imitan páginas oficiales.

En resumen

El secuestro de actualizaciones de seis meses de Notepad++ no se debió a un solo error, sino a los límites de confianza. Si un atacante puede alterar el manifiesto o las comprobaciones de firma son débiles, las «actualizaciones» se convierten en ejecución remota de código por diseño. La solución es una verificación de extremo a extremo que no se puede eludir, incluso cuando el proveedor de alojamiento queda en manos de terceros

---

Fuentes

• https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/
• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/