El desarrollador de Notepad++, un popular editor de texto de código abierto, confirmó que los piratas informáticos se apoderaron del software en 2025 y distribuyeron actualizaciones maliciosas a los usuarios durante varios meses.
En una publicación de blog publicada el lunes, el desarrollador de Notepad++ Dong Ho dijo que el ciberataque probablemente fue llevado a cabo por piratas informáticos afiliados al gobierno chino entre junio y diciembre de 2025, citando múltiples análisis realizados por expertos en seguridad que examinaron la carga útil y el patrón de ataque del malware. Ho dijo que esto «explicaría la focalización muy selectiva» observada durante la campaña.
Rapid7, que investigó el incidente, dijo que el ataque fue obra de Lotus Blossom, un grupo de espías de larga data conocido por trabajar en nombre de China, y dijo que el ataque tuvo como objetivo los sectores de gobierno, comunicaciones, aviación, infraestructura crítica y medios.
Notepad++ es uno de los proyectos de código abierto de mayor duración, que abarca más de 20 años y ha sido descargado al menos decenas de millones de veces, incluso por empleados de organizaciones de todo el mundo.
Después de que alguien, sin saberlo, utilizara una versión contaminada del popular software, los piratas informáticos comprometieron a un pequeño número de organizaciones con «intereses en el este de Asia», dijo Kevin Beaumont, un investigador de seguridad que descubrió por primera vez el ciberataque y recopiló los hallazgos en diciembre. Beaumont dijo que los piratas informáticos tenían acceso «directo» a la computadora de la víctima, que ejecutaba una versión secuestrada de Notepad++.
Ho dijo que aún se estaba investigando el «mecanismo técnico exacto» de cómo los piratas informáticos se infiltraron en el servidor, pero proporcionó algunos detalles sobre cómo terminó el ataque.
Ho dijo en su blog que el sitio web Notepad++ está alojado en un servidor de alojamiento compartido. Los atacantes «apuntaron específicamente» al dominio web Notepad++ con el objetivo de explotar un error en el software para redirigir a algunos usuarios a un servidor malicioso administrado por los piratas informáticos. Esto permitió a los piratas informáticos distribuir actualizaciones maliciosas a usuarios específicos que solicitaban actualizaciones de software hasta que se solucionó el error en noviembre y se suspendió el acceso de los piratas informáticos a principios de diciembre.
«Tenemos registros que muestran que el atacante intentó volver a explotar una de las vulnerabilidades reparadas, pero el intento no tuvo éxito después de que se implementó la solución», escribió Ho.
Ho le dijo a TechCrunch en un correo electrónico que el proveedor de alojamiento confirmó que el servidor compartido estaba comprometido, pero no dijo cómo entraron los piratas informáticos en primer lugar.
Ho se disculpó por el incidente e instó a los usuarios a descargar la última versión del software, que incluye correcciones de errores.
El ciberataque dirigido a los usuarios de Notepad++ recuerda en cierto modo al ciberataque de 2019-2020 que afectó a los clientes de SolarWinds, una empresa de software que fabrica herramientas de gestión de redes y TI para grandes organizaciones Fortune 500, incluidos departamentos gubernamentales. Los espías del gobierno ruso piratearon los servidores de la empresa y colocaron secretamente puertas traseras en su software, dándoles acceso a los datos de las redes de esos clientes una vez que se implementó la actualización.
La violación de SolarWinds afectó a varias agencias gubernamentales, incluido el Departamento de Seguridad Nacional, el Departamento de Comercio, el Departamento de Energía, el Departamento de Justicia y el Departamento de Estado.
Actualizado con respuesta de Ho y detalles adicionales de Rapid7.
Source link
