El desarrollador de Notepad++, Don Ho, informó recientemente sobre un ataque de seguridad significativo que comprometió los servidores de alojamiento de actualizaciones de la aplicación durante un período prolongado. El ataque, que ocurrió entre junio y el 2 de diciembre de 2025, permitió a los atacantes distribuir potencialmente software malicioso a usuarios seleccionados.
Ho indicó en su publicación que los responsables del secuestro eran "probablemente un grupo patrocinado por el estado chino", según reportó The Verge. La vulnerabilidad se originó en el proveedor de alojamiento externo de la aplicación, no en el código fuente de Notepad++ en sí mismo.
El mecanismo de ataque implicaba la redirección selectiva del tráfico de usuarios específicos hacia servidores controlados por los atacantes, donde se sustituían los manifiestos de actualización legítimos por ejecutables maliciosos. El experto en ciberseguridad Kevin Beaumont señaló que este código podría haber otorgado acceso remoto al teclado de las víctimas.
El ataque se caracterizó por su naturaleza altamente selectiva, enfocándose en organizaciones con intereses en Asia Oriental, según los hallazgos de Beaumont. Esto sugiere que el objetivo principal no era una infección masiva, sino la vigilancia de entidades específicas con información sensible.
Don Ho confirmó que todo acceso por parte de los atacantes fue terminado definitivamente para el 2 de diciembre de 2025. Como medida de mitigación, el actualizador de Notepad++ ha sido reforzado con mecanismos de verificación más robustos para asegurar la integridad de las futuras descargas.
Se recomienda a los usuarios actualizar inmediatamente a la versión 8.8.9 o superior, descargándola directamente desde el sitio oficial de Notepad++. Adicionalmente, se aconseja a los usuarios monitorear procesos como gup.exe y verificar la presencia de archivos sospechosos en la carpeta temporal del sistema.
Este incidente cobra relevancia histórica, dado que Don Ho ya había expresado críticas públicas al gobierno chino en 2019 con una edición especial de la aplicación. En ese momento, el desarrollador reportó haber sufrido ataques de denegación de servicio (DDoS) en respuesta a sus declaraciones.
