Notepad++, un editor de texto de Windows ampliamente utilizado, advirtió que su infraestructura de actualizaciones estuvo comprometida durante meses, lo que permitió a los atacantes redirigir selectivamente a algunos usuarios a actualizaciones maliciosas. Ars Technica informa que la vulneración comenzó en junio de 2025 y que el control no se restableció por completo hasta diciembre.
Este es un patrón clásico de la cadena de suministro: en lugar de explotar a cada víctima directamente, los atacantes apuntan a la ruta de actualización para que el software en sí se convierta en el vehículo de entrega.
Cómo se veía el ataque
Según Ars, los atacantes obtuvieron control de infraestructura, lo que les permitió interceptar y redirigir el tráfico de actualizaciones destinado al dominio Notepad++. En lugar de afectar a todos los usuarios, la redirección fue selectiva, dirigida a objetivos de interés.
Esa selectividad es una pista importante. Sugiere que los atacantes tenían un grupo de víctimas específico o intentaban evitar ser detectados manteniendo un volumen de infección bajo.
Por qué los actualizadores son un objetivo de tan alto valor
Los mecanismos de actualización automática están diseñados para hacer tres cosas peligrosas:
- Obtener código de Internet
- Escribirlo en el disco
- Ejecútalo
Eso es exactamente lo que quiere el malware. Lo único que se interpone entre la «actualización» y la «infección» es la verificación
Si un actualizador:
- No utiliza TLS fuerte de forma consistente
- No verifica las firmas correctamente
- Confía en un archivo de manifiesto manipulable
…entonces interceptar o redirigir el tráfico puede ser suficiente para intercambiar la carga útil.
Detalles del actualizador de Notepad++ (y sus puntos débiles)
Ars describe un actualizador a medida (GUP / WinGUP) que:
- Informa su versión a una URL de Notepad++
- Recupera instrucciones de actualización de un archivo XML
- Descarga un instalador en un directorio temporal y lo ejecuta
El punto débil de muchos sistemas es el paso de "manifiesto". Si el manifiesto se puede reemplazar o modificar, el actualizador puede dirigirse a cualquier ubicación de descarga.
¿En qué versiones deberían estar los usuarios?
El informe de Ars señala que los desarrolladores instaron a los usuarios a asegurarse de estar ejecutando la versión 8.9.1 o superior.
Como regla general en incidentes como este:
- Prefiero la instalación manual desde el sitio oficial
- Evite los "espejos de descarga" de terceros y los resultados de búsqueda llenos de publicidad.
- Trate las solicitudes de actualización que aparecen en horarios inesperados como sospechosas
Cómo evaluar su exposición
Puede que no haya indicadores perfectos de compromiso para una campaña específica, pero puedes reducir la incertidumbre:
- Confirme su versión instaladay compararlo con las versiones actuales.
- Verificar la firma del instaladorpara los binarios de Notepad++ que tienes.
- Revisar los registros del sistemapara detectar inicios de procesos inusuales cerca de las horas de actualización (procesos de instalación que no reconoce, llamadas de red a dominios inusuales).
- Escanear con EDR/AVque puede detectar puertas traseras conocidas reportadas por los responsables de respuesta a incidentes
Para las organizaciones, también es razonable:
- Restringir que los componentes del actualizador lleguen a Internet
- Utilice una implementación de software controlada (paquetes MSI, repositorios internos)
Lo que esto dice sobre las dependencias de código abierto
Notepad++ es gratuito, se usa mucho y, a menudo, recibe una financiación insuficiente en relación con su importancia. Esta discrepancia se refleja en una infraestructura frágil y sistemas de actualización personalizados que no fueron diseñados para modelos de amenaza a nivel de estado-nación.
La lección más importante no es "no usar código abierto". Es que los proyectos de código abierto que dependen ampliamente del mismo necesitan:
- Marcos de actualización modernos
- Revisiones de seguridad
- Financiación para infraestructura y respuesta a incidentes
En resumen
Si usa Notepad++, asuma que el canal de actualización era una superficie de ataque potencial en 2025. Obtenga una versión actual, prefiera las instalaciones oficiales/manuales y trate la integridad del actualizador (firmas y manifiestos) como el verdadero límite de seguridad
Español
English
العربية
Čeština
Dansk
Nederlands
Eesti
Suomi
Français
Deutsch
Ελληνικά
Magyar
Italiano
日本語
한국어
Latviešu valoda
Lietuvių kalba
Norsk bokmål
Polski
Português
Română
Русский
Slovenčina
Slovenščina
Svenska
Türkçe