Es posible que los usuarios del editor de texto y código Notepad++ hayan descargado sin saberlo una actualización maliciosa para la aplicación después de que sus servidores de alojamiento compartido fueran secuestrados el año pasado. El lunes, el desarrollador de la aplicación, Don Ho, publicó una actualización sobre el ataque con más detalles, incluido que los piratas informáticos eran «probablemente un grupo patrocinado por el estado chino» y que los servidores de la aplicación fueron vulnerables durante aproximadamente seis meses, desde junio hasta el 2 de diciembre de 2025.
La publicación explica que el secuestro se produjo en el extremo del proveedor de alojamiento anónimo de la aplicación, ahora antiguo, y afirma que «el tráfico de ciertos usuarios objetivo fue redirigido selectivamente a manifiestos de actualización maliciosos controlados por el atacante». Cuando las víctimas eran redirigidas, la actualización de su aplicación podía ser reemplazada por un ejecutable malicioso que, según el experto independiente en ciberseguridad Kevin Beaumont, puede haber dado a los piratas informáticos acceso remoto al teclado de la víctima.
La publicación de Don Ho también agrega que el ataque involucró un «objetivo altamente selectivo» en términos de las víctimas que redirigió fuera del sitio web legítimo de Notepad++. Kevin Beaumont señaló que las víctimas con las que habló “son [organizations] con intereses en el este de Asia”. Entonces, si bien se trata de una vulnerabilidad de seguridad grave, es posible que los piratas informáticos estuvieran ocupados vigilando a personas específicas en lugar de a cualquiera.
El desarrollador no especificó cuándo tuvo conocimiento del ataque, pero dijo que «todo el acceso de los atacantes se canceló definitivamente» el 2 de diciembre. El actualizador Notepad++ se ha actualizado con medidas de seguridad más estrictas para comprobar si hay manipulaciones y verificar que las actualizaciones sean legítimas.
Los usuarios de Notepad++ deben asegurarse de tener al menos la versión 8.8.9, que solucionó las vulnerabilidades del ataque de secuestro, y probablemente deberían descargar esa versión directamente desde el sitio web de Notepad++. Además, Kevin Beaumont sugirió a los usuarios que verifiquen que no estén usando una versión no oficial de Notepad++, vigilen de cerca la actividad de “gup.exe”, el actualizador de la aplicación, y busquen un archivo sospechoso “update.exe” o “AutoUpdater.exe” en su carpeta TEMP.
En particular, Don Ho, el desarrollador de Notepad++, criticó al gobierno chino en una actualización de la aplicación de 2019. Llamó a esa versión la edición “Uigur libre” y dijo El borde en el momento en que su sitio web había enfrentado ataques DDoS en respuesta.