En respuesta al incidente, el sitio web de Notepad++ se ha migrado a un nuevo proveedor de alojamiento
El mantenedor de Notepad++ ha revelado que atacantes patrocinados por el estado secuestraron el mecanismo de actualización de la utilidad para redirigir el tráfico de actualizaciones a servidores maliciosos.
"El ataque implicó una vulneración a nivel de infraestructura que permitió a actores maliciosos interceptar y redirigir el tráfico de actualizaciones destinado a notepad-plus-plus.org", declaró el desarrollador Don Ho. "La vulneración se produjo a nivel del proveedor de alojamiento, en lugar de a través de vulnerabilidades en el propio código de Notepad++".
Actualmente se está investigando el mecanismo exacto a través del cual esto ocurrió, añadió Ho.
El desarrollo llega poco más de un mes después de que Notepad++ lanzara la versión 8.8.9 para solucionar un problema que provocaba que el tráfico de WinGUp, el actualizador de Notepad++, fuera "ocasionalmente" redirigido a dominios maliciosos, lo que resultaba en la descarga de ejecutables envenenados.
En concreto, el problema surgió de la forma en que el actualizador verificaba la integridad y autenticidad del archivo de actualización descargado, lo que permitía a un atacante capaz de interceptar el tráfico de red entre el cliente del actualizador y el servidor de actualización engañar a la herramienta para que descargara un binario diferente.
Se cree que esta redirección fue muy selectiva, ya que el tráfico procedente de ciertos usuarios se enrutaba a los servidores fraudulentos y obtenía los componentes maliciosos. Se estima que el incidente comenzó en junio de 2025, más de seis meses antes de que saliera a la luz.
El investigador de seguridad independiente Kevin Beaumont reveló que la falla estaba siendo explotada por actores de amenazas en China para secuestrar redes y engañar a sus víctimas para que descargaran malware. En respuesta al incidente de seguridad, el sitio web de Notepad++ se ha migrado a un nuevo proveedor de alojamiento.
"Según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025", explicó Ho. "Incluso después de perder el acceso al servidor, los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualización de Notepad++ a servidores maliciosos".
