El proyecto de software de código abierto Notepad++ confirmó una grave brecha de seguridad que permitió a actores maliciosos interceptar y redirigir el tráfico de actualización de la aplicación, un incidente que se extendió desde junio hasta principios de diciembre de 2025. La investigación, realizada en colaboración con expertos externos, determinó que la intrusión ocurrió a nivel del proveedor de alojamiento compartido, no debido a fallos en el código de Notepad++.
El elemento más crítico del ataque fue la capacidad de los actores de la amenaza para redirigir selectivamente a usuarios específicos hacia manifiestos de actualización maliciosos controlados por ellos. Aunque el acceso físico al servidor comprometido se perdió el dos de septiembre de 2025 tras un mantenimiento de kernel, los atacantes mantuvieron credenciales de servicios internos hasta el dos de diciembre de 2025, permitiendo la manipulación continua del tráfico de descarga.
Analistas de seguridad independientes han evaluado que el actor detrás de la campaña es probablemente un grupo patrocinado por el estado chino, lo cual explicaría la naturaleza altamente focalizada de los objetivos. El proveedor de alojamiento anterior detalló que los atacantes buscaron específicamente el dominio notepad-plus-plus.org para explotar controles de verificación de actualización insuficientes existentes en versiones anteriores del software.
Como medida de mitigación, el equipo de Notepad++ ha migrado su sitio web a un nuevo proveedor de alojamiento con prácticas de seguridad reforzadas. Internamente, la herramienta de actualización WinGup fue mejorada en la versión 8.8.9 para verificar tanto el certificado como la firma del instalador descargado, y la firma XMLDSig se implementará completamente en la próxima versión 8.9.2.
El proveedor de alojamiento afirmó haber solucionado las vulnerabilidades utilizadas y rotado todas las credenciales obtenidas por los actores maliciosos antes del dos de diciembre de 2025. A pesar de las discrepancias menores en las fechas de cese de actividad reportadas por los expertos y el proveedor, se considera que el acceso del atacante fue terminado definitivamente en esa fecha.
Aunque inicialmente no se compartieron Indicadores de Compromiso (IoC), información técnica adicional y datos tangibles fueron posteriormente publicados por investigadores de Rapid7 y Kaspersky. El desarrollador principal de Notepad++ recomendó a los usuarios actualizar manualmente a la versión 8.9.1 o posterior para asegurar la aplicación de las nuevas protecciones criptográficas.
