Notepad++, un editor de texto de código libre con más de 20 años de historia, ha sido usado por un grupo de hackers para atacar objetivos seleccionados. Los asaltantes aprovecharon los problemas de seguridad que tenía el actualizador de la aplicación y una vulnerabilidad que encontraron en el proveedor de alojamiento, para redirigir el tráfico a servidores desde los que distribuían una actualización falsa con malware en lugar de la actualización legítima.
Don Ho, responsable de Notepad++, explica que en base al análisis de los expertos en seguridad, una vulnerabilidad en la infraestructura de su anterior proveedor de alojamiento permitió a unos atacantes interceptar y redirigir el tráfico de las actualizaciones destinado a notepad-plus-plus.org. Actualmente se está investigando el mecanismo que usaron los hackers para llevar a cabo su asalto, pero Don Ho dice que la vulnerabilidad se encontraba en el servidor del proveedor de alojamiento y no en el propio código de Notepad++.
El análisis sostiene que el ataque empezó en junio de 2025, y según los investigadores independientes detrás de la acción se encuentra un grupo de hackers patrocinado por un estado. Kevin Beaumont, un investigador de ciberseguridad independiente, señala a China. El autor podría ser Violet Typhoon, también conocido como APT31 y Zirconium, que ha sido catalogado como un grupo ATP (amenaza persistente avanzada). Los hackers no buscaban a cualquier usuario, sino que tenían objetivos específicos y dirigieron sus ataques a compañías de telecomunicaciones y servicios financieros ubicadas en Asia Oriental.
Los atacantes también se sirvieron de las debilidades que encontraron en el sistema de seguridad de WinGUP, que es el nombre del actualizador de Notepad++. Antes de la versión 8.8.8 lanzada a mediados de noviembre de 2025, el sistema no era lo suficientemente robusto como para impedir cambiar la fuente desde la que se descargaban las actualizaciones. Desde entonces solo admite descargas desde GitHub. Además, antes de la versión 8.8.9 lanzada el 9 de diciembre de 2025 tampoco validaba la integridad y autenticidad del archivo descargado.
Los atacantes aprovecharon los fallos de seguridad de ambos lados para interceptar el tráfico entre WinGUP y el servidor para distribuir una actualización falsa. El asalto empezó en junio de 2025 y en septiembre los hackers perdieron el acceso al servidor, pero mantuvieron las credenciales hasta el 2 de diciembre. Durante todo este tiempo han podido redirigir el tráfico a sus propios servidores. Se sospecha que los atacantes buscaron el dominio de Notepad++ para interceptar su tráfico ya que previamente habían detectado que el sistema de descarga de actualizaciones tenía poca seguridad.
Para solucionar este "grave" problema la web de Notepad++ ha migrado a un nuevo proveedor y reforzado la seguridad de WinGup. La recomendación para los usuarios es no entrar en pánico debido a que los ataques eran dirigidos y descargar la última versión del programa.
Don Ho, responsable de Notepad++, explica que en base al análisis de los expertos en seguridad, una vulnerabilidad en la infraestructura de su anterior proveedor de alojamiento permitió a unos atacantes interceptar y redirigir el tráfico de las actualizaciones destinado a notepad-plus-plus.org. Actualmente se está investigando el mecanismo que usaron los hackers para llevar a cabo su asalto, pero Don Ho dice que la vulnerabilidad se encontraba en el servidor del proveedor de alojamiento y no en el propio código de Notepad++.
El análisis sostiene que el ataque empezó en junio de 2025, y según los investigadores independientes detrás de la acción se encuentra un grupo de hackers patrocinado por un estado. Kevin Beaumont, un investigador de ciberseguridad independiente, señala a China. El autor podría ser Violet Typhoon, también conocido como APT31 y Zirconium, que ha sido catalogado como un grupo ATP (amenaza persistente avanzada). Los hackers no buscaban a cualquier usuario, sino que tenían objetivos específicos y dirigieron sus ataques a compañías de telecomunicaciones y servicios financieros ubicadas en Asia Oriental.
Los atacantes también se sirvieron de las debilidades que encontraron en el sistema de seguridad de WinGUP, que es el nombre del actualizador de Notepad++. Antes de la versión 8.8.8 lanzada a mediados de noviembre de 2025, el sistema no era lo suficientemente robusto como para impedir cambiar la fuente desde la que se descargaban las actualizaciones. Desde entonces solo admite descargas desde GitHub. Además, antes de la versión 8.8.9 lanzada el 9 de diciembre de 2025 tampoco validaba la integridad y autenticidad del archivo descargado.
Los atacantes aprovecharon los fallos de seguridad de ambos lados para interceptar el tráfico entre WinGUP y el servidor para distribuir una actualización falsa. El asalto empezó en junio de 2025 y en septiembre los hackers perdieron el acceso al servidor, pero mantuvieron las credenciales hasta el 2 de diciembre. Durante todo este tiempo han podido redirigir el tráfico a sus propios servidores. Se sospecha que los atacantes buscaron el dominio de Notepad++ para interceptar su tráfico ya que previamente habían detectado que el sistema de descarga de actualizaciones tenía poca seguridad.
Para solucionar este "grave" problema la web de Notepad++ ha migrado a un nuevo proveedor y reforzado la seguridad de WinGup. La recomendación para los usuarios es no entrar en pánico debido a que los ataques eran dirigidos y descargar la última versión del programa.
No entrar en pánico siempre y cuando no fueras uno de los objetivos buscado.
Aunque la mayor parte del tiempo estoy tirando de nano [rtfm]
Debe elegirlo el usuario, no el programa.
Yo igual, aunque Notepad++ lo tengo ahí en segundo plano con algunas pestañas fijas para editar rápido cosas puntuales y muy escondidas, como los hosts.
Por suerte para mi, llevo mucho tiempo sin actualizarlo, abrirlo, y con actualizaciones automáticas desactivadas [qmparto]
Lo más seguro para actualizarlo es hacerlo manualmente vía GitHub:
https://github.com/notepad-plus-plus/no ... s/releases