El mantenedor de Notepad++ ha revelado que atacantes patrocinados por un estado secuestraron el mecanismo de actualización de la utilidad para redirigir el tráfico de actualización a servidores maliciosos en lugar de los legítimos.
"El ataque implicó un compromiso a nivel de infraestructura que permitió a actores maliciosos interceptar y redirigir el tráfico de actualización destinado a notepad-plus-plus.org", dijo el desarrollador Don Ho. "El compromiso ocurrió a nivel del proveedor de alojamiento, no a través de vulnerabilidades en el propio código de Notepad++". Ho agregó que el mecanismo exacto por el cual se realizó esto está siendo investigado actualmente.
El incidente se conoce poco después de que Notepad++ lanzara la versión 8.8.9 para solucionar un problema que provocaba que el tráfico de WinGUp, el actualizador de Notepad++, fuera "ocasionalmente" redirigido a dominios maliciosos, resultando en la descarga de ejecutables envenenados. El problema se debía a la forma en que el actualizador verificaba la integridad y autenticidad del archivo de actualización descargado, permitiendo que un atacante que interceptara el tráfico de red entre el cliente actualizador y el servidor de actualización engañara a la herramienta para que descargara un binario diferente.
Se cree que esta redirección fue altamente dirigida, con tráfico proveniente solo de ciertos usuarios enrutado hacia los servidores maliciosos y obteniendo los componentes maliciosos. El incidente se evalúa que comenzó en junio de 2025, más de seis meses antes de que saliera a la luz.
El investigador de seguridad independiente Kevin Beaumont reveló que la falla estaba siendo explotada por actores de amenazas en China para secuestrar redes y engañar a las víctimas para que descargaran malware. Los ataques, atribuidos a un actor de amenazas de estado-nación conocido como Violet Typhoon (también APT31), se dirigieron a organizaciones de telecomunicaciones y servicios financieros en el este de Asia.
En respuesta al incidente de seguridad, el sitio web de Notepad++ se ha migrado a un nuevo proveedor de alojamiento con "prácticas significativamente más sólidas", y el proceso de actualización se ha reforzado con barreras adicionales para garantizar su integridad.
"Según el anterior proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025", explicó Ho. "Incluso después de perder el acceso al servidor, los atacantes mantuvieron credenciales para servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualización de Notepad++ a servidores maliciosos".
