Los administradores de Notepad++ han revelado que atacantes patrocinados por el estado han secuestrado el mecanismo de actualización de la utilidad y en su lugar han redirigido el tráfico de actualización a un servidor malicioso.
«Este ataque implicó un compromiso a nivel de infraestructura que permitió a un atacante malicioso interceptar y redirigir el tráfico de actualización destinado a notepad-plus-plus.org», dijo el desarrollador Don Ho. «Esta infracción se produjo a nivel del proveedor de alojamiento, no a través de una vulnerabilidad en el código de Notepad++ en sí».
El mecanismo exacto por el cual se logró esto está actualmente bajo investigación, añadió Ho.
El desarrollo se produce poco más de un mes después de que Notepad++ lanzara la versión 8.8.9 para solucionar un problema por el cual el tráfico de WinGUp, un actualizador de Notepad++, era «ocasionalmente» redirigido a dominios maliciosos y descargaba ejecutables contaminados.
Específicamente, el problema surgió de la forma en que el actualizador verificó la integridad y autenticidad de los archivos de actualización descargados, lo que permitió a un atacante que pudo interceptar el tráfico de red entre el cliente del actualizador y el servidor de actualización engañar a la herramienta para que descargara un binario diferente.
Se cree que esta redirección estaba muy dirigida, ya que el tráfico procedente únicamente de un usuario específico se enrutaba a un servidor fraudulento para recuperar el componente malicioso. Se estima que el incidente comenzó en junio de 2025, más de medio año antes de que fuera descubierto.
El investigador de seguridad independiente Kevin Beaumont reveló que los atacantes chinos estaban aprovechando esta falla para secuestrar redes y engañar a los objetivos para que descargaran malware. En respuesta a un incidente de seguridad, el sitio web Notepad++ se migró a un nuevo proveedor de alojamiento.
«Según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025», explicó Ho. «Incluso después de perder el acceso al servidor, los atacantes conservaron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió continuar redirigiendo el tráfico de actualización de Notepad++ al servidor malicioso».
Source link
