Notepad++ ha lanzado una solución de seguridad para llenar el vacío que los actores de amenazas chinos avanzados han explotado para secuestrar mecanismos de actualización de software y entregar malware selectivamente a los objetivos previstos.
La actualización de la versión 8.9.2 incorpora lo que su responsable Don Ho llama un diseño de «doble bloqueo», cuyo objetivo es hacer que el proceso de actualización sea «robusto y prácticamente inexplotable». Esto incluye la validación de instaladores firmados descargados de GitHub (implementado desde la versión 8.8.9) y la validación recientemente agregada de XML firmado devuelto desde los servidores de actualización de notepad-plus-plus(.)org.
Además de estas mejoras, hemos introducido cambios centrados en la seguridad en nuestro componente de actualización automática, WinGUp.
Se eliminó libcurl.dll para eliminar el riesgo de descarga de DLL. Se eliminaron dos opciones SSL de cURL inseguras: CURLSSLOPT_ALLOW_BEAST y CURLSSLOPT_NO_REVOKE. Administración de complementos restringida a programas firmados con el mismo certificado que WinGUp.
Esta actualización también aborda una vulnerabilidad de alta gravedad (CVE-2026-25926, puntuación CVSS: 7,3) que podría permitir la ejecución de código arbitrario en el contexto de una aplicación en ejecución.
«Existe una vulnerabilidad de ruta de búsqueda insegura (CWE-426) cuando se inicia Windows Explorer sin especificar una ruta ejecutable absoluta», dijo Ho. «Esto podría permitir la ejecución de un explorer.exe malicioso si un atacante puede controlar el directorio de trabajo del proceso. Bajo ciertas condiciones, esto podría llevar a la ejecución de código arbitrario en el contexto de la aplicación en ejecución».
Este desarrollo se produce semanas después de que Notepad ++ revelara que una infracción a nivel del proveedor de alojamiento permitió a los atacantes secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir las solicitudes de ciertos usuarios a servidores maliciosos para ofrecer actualizaciones dañinas. Este problema se detectó a principios de diciembre de 2025.
Según Rapid7 y Kaspersky, la actualización modificada permitió a los atacantes entregar una puerta trasera previamente no documentada llamada «Chrysalis». Se cree que este incidente en la cadena de suministro, rastreado con el identificador CVE CVE-2025-15556 (puntuación CVSS: 7,7), es obra de un grupo de hackers alineado con China llamado Lotus Panda.
Se recomienda a los usuarios de Notepad++ que actualicen a la versión 8.9.2 y se aseguren de que el instalador se descargue del dominio oficial.
Source link
