Notepad++ es comprometido por hackers respaldados por un Estado

 (notepad-plus-plus.org)
2 puntos por GN⁺ 2026-02-03 | 1 comentarios | Compartir por WhatsApp
  • Se produjo un incidente de seguridad en el que el tráfico de actualización del sitio web oficial de Notepad++ fue redirigido a un servidor de los atacantes
  • El ataque se llevó a cabo mediante una intrusión a nivel de la infraestructura del proveedor de hosting, y no por una vulnerabilidad en el código de Notepad++
  • El ataque continuó desde junio de 2025 hasta el 2 de diciembre, y varios investigadores de seguridad lo atribuyen a un grupo de hackers respaldado por el gobierno chino
  • Los atacantes apuntaron a versiones antiguas de Notepad++ con un proceso insuficiente de verificación de actualizaciones para distribuir actualizaciones maliciosas
  • Posteriormente se reforzó la seguridad mediante la migración del sitio web, el fortalecimiento de la validación de certificados y firmas, y la incorporación de firmas XML

Resumen del incidente

  • Tras el aviso de seguridad (anuncio de v8.8.9), se llevó a cabo una investigación en colaboración con expertos externos y con el proveedor de hosting anterior
  • El análisis mostró que los atacantes realizaron una intrusión a nivel de infraestructura que les permitió interceptar y redirigir el tráfico de actualización dirigido a notepad-plus-plus.org
  • La intrusión ocurrió en el servidor del proveedor de hosting, no en el código de Notepad++
  • Solo el tráfico de ciertos usuarios fue redirigido selectivamente al servidor de los atacantes para entregar un manifiesto de actualización malicioso

Fechas del ataque y responsables

  • El ataque comenzó en junio de 2025
  • Varios investigadores de seguridad independientes lo atribuyen a un grupo de hackers respaldado por el gobierno chino
  • Se caracterizó por ser una operación muy limitada y altamente selectiva

Resultados de la investigación del proveedor de hosting

  • El proveedor confirmó que el servidor estuvo comprometido hasta el 2 de septiembre de 2025
    • En esa fecha se realizaron actualizaciones de kernel y firmware, y desde entonces desaparecieron patrones similares en los logs
  • Los atacantes conservaron credenciales de servicios internos hasta el 2 de diciembre, lo que les permitió redirigir parte del tráfico
  • El análisis de logs mostró que otros clientes no fueron objetivo del ataque, y solo el dominio de Notepad++ fue atacado
  • Después del 2 de diciembre
    • Se completó la corrección de vulnerabilidades y la rotación de credenciales
    • No hubo indicios de intrusiones similares en otros servidores
  • Se recomendó a los clientes cambiar sus contraseñas de SSH, FTP/SFTP y MySQL, y revisar sus cuentas de administrador de WordPress

Resumen (TL;DR)

  • El servidor de hosting compartido estuvo comprometido hasta el 2 de septiembre de 2025 y, posteriormente, los atacantes mantuvieron credenciales internas hasta el 2 de diciembre
  • Los atacantes aprovecharon una debilidad en la verificación de actualizaciones de Notepad++ para distribuir actualizaciones maliciosas
  • Todas las medidas de refuerzo de seguridad se completaron después del 2 de diciembre, bloqueando ataques adicionales

Respuesta y refuerzo de seguridad

  • El sitio web de Notepad++ fue migrado a un nuevo proveedor de hosting con un nivel de seguridad más alto
  • La herramienta interna de actualización de Notepad++, WinGup, desde la v8.8.9
    • agregó verificación de certificados y firmas para los archivos instaladores descargados
    • aplica firmas XMLDSig a las respuestas XML del servidor de actualizaciones
    • desde la v8.9.2, la verificación de certificados y firmas se aplicará de forma obligatoria
  • Se recomienda a los usuarios instalar manualmente la versión v8.9.1

Información adicional y límites de la investigación

  • No se obtuvieron indicadores de compromiso (Indicator of Compromise, IoC)
    • Se analizaron unos 400 GB de logs del servidor, pero no se encontraron IoC concretos como hashes binarios, dominios o IP
    • También se solicitaron IoC al proveedor de hosting, pero no fueron entregados
  • Ivan Feigl de Rapid7 compartió resultados de una investigación por separado y dispone de IoC más específicos

Conclusión

  • El ataque consistió en una manipulación dirigida de actualizaciones mediante la intrusión en la infraestructura de hosting
  • El problema ya fue resuelto con el refuerzo de seguridad y la migración del servidor
  • Notepad++ planea prevenir ataques similares en el futuro reforzando su sistema de verificación de actualizaciones

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-03
Comentarios de Hacker News

  • Creo que estoy bastante a salvo de problemas como este gracias al hábito de usar firewall para bloquear el acceso a Internet si el programa no lo necesita realmente
    No hay absolutamente ninguna razón para que un editor de texto acceda a Internet
    Solo actualizo con winget, y la mayoría de las veces obtengo los instaladores desde GitHub. Entiendo que los cambios en los paquetes solo se pueden hacer mediante PR. No es perfecto, pero me da bastante confianza

    • Casos como comprobar actualizaciones o descargar plugins serían excepciones en las que sí haría falta acceso a Internet
    • En macOS, Little Snitch es muy útil. Te avisa de inmediato a qué IP o dominio se está conectando algo, y permite autorizar, bloquear y definir reglas fácilmente
    • Me pregunto qué software de firewall usan. Ya me está dando la impresión de que yo también debería empezar a usar uno

  • Había estado posponiendo la actualización y todavía uso la versión 8.5.8, así que terminé pensando si eso me dejó en una situación más segura
    Ojalá hubiera información concreta sobre qué les pasó realmente a las personas que recibieron la actualización infectada
    Sería útil una herramienta para verificar el checksum de los archivos instalados de Notepad++
    Además, el aviso tiene tantos errores tipográficos que hasta me hace sospechar si lo escribió un hacker respaldado por un Estado. ¿No será que la versión nueva es la maliciosa?

    • Me recordó a cuando en la universidad los profesores dejaban tareas con errores a propósito. Por eso yo siempre esperaba a que otros las probaran primero y dijeran que estaban bien
      Ojalá existiera un sistema de red de confianza donde tus amigos probaran antes las actualizaciones y tú pudieras confiar en ese resultado
    • No creo que la versión más reciente siempre sea la más segura. Mientras no haya vulnerabilidades conocidas, una versión antigua puede ser más estable
    • Según el sitio oficial de Notepad++, el incidente empezó en junio de 2025
      Dicen que la versión 8.8.1 o anteriores son seguras. En GitHub están publicados los checksums SHA256 de cada versión
    • Las versiones antiguas no siempre son malas. A veces una actualización incluso puede empeorar la calidad
      Es más importante revisar el código directamente que activar las actualizaciones automáticas
    • Mantengo desactivadas las actualizaciones automáticas en las apps que no se conectan directamente a Internet (correo, navegador, SO, etc. aparte)
      Creo que es mucho más probable que una app cualquiera se infecte con una actualización maliciosa. Solo actualizo manualmente de vez en cuando

  • Gracias a usar Chocolatey, pude evitar este ataque
    El mantenedor dejó el checksum SHA256 hardcodeado y no usa WinGuP en absoluto

  • Este tipo de situaciones muestra la ventaja de los gestores de paquetes
    Como no sabes si el servidor de actualizaciones es vulnerable ni si se valida el checksum, no confío en la función de autoactualización
    En cambio, lo gestiono con choco update notepadplusplus o winget upgrade Notepad++.Notepad++

  • Probablemente este incidente esté relacionado con el aviso de Notepad++ sobre Taiwán

    • Notepad++ lleva tiempo incluyendo mensajes políticos en sus actualizaciones. Ya ha expresado posturas sobre Taiwán, Ucrania y otros temas
    • Antes también hubo una Free Uyghur Edition. Recuerdo que en ese momento los issues de GitHub se llenaron de mensajes en chino
    • Este ataque parece haber estado dirigido no al desarrollador, sino a un grupo específico de usuarios
    • No me parece apropiado meter discusiones políticas en la documentación de un proyecto open source. Es libertad del autor, pero también puede perjudicar al proyecto
    • Me parece problemático que China continental quiera integrar a Taiwán por la fuerza
      Pero también creo que el software debe estar separado de la política. Aunque uno comparta el objetivo político, mezclarlo con el código es innecesario

  • Siempre me preocupan las herramientas de propósito general mantenidas por equipos pequeños
    Incluso si solo se hackean algunas instalaciones, un ataque a la cadena de suministro puede poner en riesgo a muchísimas empresas

    • Si usas macOS, creo que de verdad deberías usar Little Snitch
      También puedes analizar el tráfico directamente con herramientas como Wireshark o Burp Suite
      Este tipo de firewalls también se pueden usar en Windows o Linux
    • Las funciones de autoactualización son inseguras desde el punto de vista de seguridad. Implementarlas bien requiere mucho esfuerzo de ingeniería, y la mayoría de las empresas no lo hacen
    • Que sea una gran empresa no significa que sea inmune a este tipo de ataques. Si se descuidan, les pasa igual

  • Se dice que el tráfico de ciertos usuarios fue redirigido a un servidor de los atacantes para que recibieran un manifiesto de actualización malicioso
    Me pregunto qué usuarios fueron seleccionados, pero el texto solo menciona que se presume participación de hackers respaldados por el gobierno chino

    • Supongo que las IP de universidades, empresas y organismos gubernamentales habrán sido los objetivos principales
    • Puede que algunos usuarios concretos hayan sido vulnerables porque el procedimiento de validación de actualizaciones en ciertas versiones antiguas de Notepad++ era deficiente
    • No sabemos quién hackeó el servidor. Al final, si lo atribuyen a un “actor estatal”, nadie lo verifica

  • Me da curiosidad cómo fue exactamente que los sistemas objetivo quedaron comprometidos

    • Los detalles están en el artículo de Heise y en el análisis de DoublePulsar
      Las versiones anteriores a la 8.8.7 usaban un certificado autofirmado, y esa clave había quedado expuesta en GitHub
      El ataque fue una intrusión manual dirigida solo a algunos usuarios de Asia
      Más que echarle toda la culpa al proveedor de hosting, creo que el desarrollador también tiene responsabilidad
    • Los ataques a la cadena de suministro sí dan mucho miedo. Yo también abro seguido archivos sensibles en Notepad++, así que me preocupa si algo se habrá filtrado
    • Lo más probable es que a través de la actualización hayan intentado instalar una puerta trasera y hacer vigilancia o robo de datos
    • Sigue sin estar claro quiénes fueron los objetivos. El comunicado oficial es demasiado vago

  • Al final queda la pregunta: “Entonces, ¿qué hago con Notepad++?”

    • Si usabas un gestor de paquetes, es muy probable que no te haya afectado este ataque. Aun así, si el propio instalador estuviera infectado, seguiría habiendo riesgo
    • Como alternativa, recomiendo Kate de KDE. Se puede instalar con Chocolatey
    • Personalmente, también creo que Gedit es una muy buena opción poco valorada

  • Yo desactivo la función de buscar actualizaciones apenas instalo software nuevo
    Aunque este tipo de ataques sean raros, creo que las solicitudes de actualización exponen la huella digital y la ubicación de mi computadora

    • De verdad no lo entiendo. Las vulnerabilidades de ejecución remota de código al final aparecen porque “se permite que el software traiga código remoto y lo ejecute”
    • Claro, si hablamos de un nivel de vigilancia tipo Room 641A, por más cuidado que tengas es difícil evitarlo por completo
      Lo importante es mantener una seguridad realista mediante modelado de amenazas
    • Entonces queda la cuestión contraria: ¿cómo manejas la exposición a vulnerabilidades que surge por no actualizar?