Servidores de actualización de Notepad++ comprometidos: redirección a servidores maliciosos durante 6 meses

SoftwareVarios

Published:

Reading time: 3 min.

El proyecto Notepad++, uno de los editores de texto más utilizados en entornos Windows por desarrolladores y administradores de sistemas, confirmó recientemente un ataque dirigido a su infraestructura de actualizaciones que permitió redirigir a usuarios específicos hacia servidores maliciosos. El incidente, activo entre junio y diciembre de 2025, no explotó una vulnerabilidad directa del código fuente, sino una debilidad en la validación de actualizaciones en versiones antiguas del actualizador.

Este caso es un ejemplo claro de ataque a la cadena de suministro (supply chain) altamente selectivo y con un nivel de sofisticación que apunta a un actor estatal, presuntamente de origen chino.

📌 ¿Qué ocurrió exactamente?

Según el análisis forense realizado por investigadores independientes y el antiguo proveedor de hosting, los atacantes lograron comprometer el servidor compartido donde se alojaba históricamente el dominio notepad-plus-plus.org.

El objetivo no fue el sitio completo, sino un componente crítico del proceso de actualización:

  • Script afectado: getDownloadUrl.php

  • Función: devolver la URL del instalador durante el proceso de actualización automática (WinGUp)

  • Impacto: redirección selectiva de usuarios a binarios maliciosos

El ataque fue quirúrgico, evitando campañas masivas y enfocándose únicamente en determinados perfiles de usuarios, lo que redujo su visibilidad durante meses.

🧠 Ataque a nivel de infraestructura, no del código

Es importante remarcar que:

  • No hubo compromiso del código fuente de Notepad++

  • No se modificaron releases oficiales

  • ✅ El ataque ocurrió a nivel de infraestructura de hosting

Los atacantes explotaron el hecho de que versiones antiguas del actualizador WinGUp:

  • No exigían validación estricta de firma digital

  • No comprobaban correctamente el certificado del instalador descargado

Esto permitió servir binarios maliciosos sin levantar alertas inmediatas en el cliente.

🗓️ Línea de tiempo del compromiso

Fecha

Evento

Junio 2025

Compromiso inicial del servidor compartido

2 Sept 2025

Pérdida de acceso directo tras mantenimiento del proveedor

Sept–Dic 2025

Persistencia mediante credenciales internas robadas

10 Nov 2025

Fin estimado de la campaña activa

2 Dic 2025

Rotación total de credenciales y hardening

9 Dic 2025

Lanzamiento de Notepad++ v8.8.9 con mitigaciones

El proveedor confirmó que ningún otro cliente del servidor fue atacado, lo que refuerza la hipótesis de una operación dirigida exclusivamente contra Notepad++.

🛡️ Medidas de mitigación implementadas

🔐 Endurecimiento del sistema de actualizaciones (v8.8.9)

Desde la versión 8.8.9, el actualizador WinGUp ahora:

  • Requiere firma digital válida

  • Verifica que el certificado coincida exactamente

  • ❌ Aborta automáticamente la actualización ante cualquier inconsistencia

Esto elimina la posibilidad de ejecutar instaladores no autorizados incluso si la URL fuese manipulada.

🔮 Próximo paso: XML Digital Signature (XMLDSig)

El proyecto anunció la implementación de XMLDSig para firmar criptográficamente los manifests de actualización:

  • Garantiza la integridad de las URLs

  • Evita manipulación del XML devuelto por el servidor

  • Protección adicional frente a ataques MITM o compromisos de hosting

📅 Fecha estimada: Notepad++ v8.9.2, prevista para el próximo mes.

🧑‍💻 Recomendaciones para sysadmins y usuarios avanzados

Si utilizas Notepad++ en entornos productivos:

  1. Actualiza inmediatamente a la versión 8.8.9 o superior

  2. 🔍 Verifica el hash y la firma digital de los instaladores

  3. 🚫 Evita el uso de versiones antiguas con WinGUp sin validación estricta

  4. 🛡️ Considera desplegar Notepad++ vía:

    • Repositorios internos

    • Software management (SCCM, Intune, Chocolatey, etc.)

  5. 📢 Revisa logs y endpoints si el editor se usa en entornos sensibles

✅ Conclusión

Este incidente demuestra que incluso proyectos open-source ampliamente auditados pueden verse comprometidos fuera de su código, atacando los eslabones más débiles de la cadena: infraestructura y validaciones laxas.

La respuesta del equipo de Notepad++ ha sido rápida y técnica, reforzando significativamente el proceso de actualización. Sin embargo, la lección es clara:

👉 las actualizaciones automáticas deben validarse criptográficamente de extremo a extremo.

Actualizar no es opcional. Es una medida de seguridad.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles