edición general
127 meneos
923 clics

Actualizaciones de Notepad++ secuestradas por hackers supuestamente patrocinados por China [EN]

Según el antiguo proveedor de alojamiento, el servidor de alojamiento compartido estuvo comprometido hasta el 2 de septiembre de 2025. Incluso tras perder el acceso al servidor, los atacantes mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre de 2025, lo que les permitió seguir redirigiendo el tráfico de actualizaciones de Notepad++ a servidores maliciosos. Los atacantes atacaron específicamente el dominio de Notepad++ con el objetivo de aprovechar los controles de verificación de actualizaciones insuficientes.

| etiquetas: notepad ++ , actualizaciones , malware , hosting
70 57 1 K 329 tecnología
38 comentarios
70 57 1 K 329 tecnología
Comentarios destacados:    
ochoceros #1 ochoceros
Respuesta del desarrollador:

"Para solucionar este grave problema de seguridad, el sitio web de Notepad++ se ha migrado a un nuevo proveedor de alojamiento con prácticas de seguridad significativamente más robustas.
Dentro de Notepad++, WinGup (el actualizador) se mejoró en la versión v8.8.9 para verificar tanto el certificado como la firma del instalador descargado. Además, el XML devuelto por el servidor de actualización ahora está firmado (XMLDSig), y la verificación del certificado

…   » ver todo el comentario
9 K 79
#9 Mikeien
#1 Y explicado a un usuario de Notepad++ sin muchos conocimientos de informática, que han conseguido o querido hacer esos hackers? Tienen el control de mi ordenador? Me han robado los datos?
1 K 18
#15 Hemin
#9 pues pueden ser las 2 cosas perfectamente
1 K 13
#19 MabelArce
#15 #9 Como podría ser también ninguna. Han conseguido cambiar los binarios y vete a saber qué código traían, pero aún no se ha comentado nada sobre si esos binarios cambiados tenían alguna función maligna concreta.

#13 Notepad++ acostumbra a posicionarse políticamente en alguna de sus publicaciones, así que alguien le tenía ganas de hacerle perder reputación.
1 K 22
joffer #20 joffer
#9 tiene la posibilidad de haber hecho ambas
1 K 18
ochoceros #21 ochoceros
#9 Tenían el control del servidor (compartido) de actualizaciones por algún problema de seguridad de la empresa de hosting y a determinados usuarios seleccionados (zona Asia) les han colado unos binarios con malware aprovechando que la funcionalidad de actualización no verificaba bien la autenticidad del software descargado, cosa que ya han corregido cambiando el hosting e implementando las comprobaciones necesarias de los binarios descargados.
3 K 37
JohnSmith_ #23 JohnSmith_
#9 Deberias suponer que si y actuar en consecuencia.
3 K 38
#33 JimmyTM *
Lo pongo tarde pero mejor eso que nunca: hay un diagnóstico de IoC (Indicators of Compromise) relacionados con los malwares Chrysalis (backdoor) y Lotus Blossom (Billbug) en: github.com/CreamyG31337/chrysalis-ioc-triage/

Es un fichero Powershell muy simple de iniciar:
1. Descargas el .zip del repositorio en el botón "<> Code".
2. Descomprimes.
3. Ejecutas en terminal, desde la carpeta donde esté presente el fichero .ps1 con: powershell ./Check-ChrysalisIoC.ps1 -ScanPaths 'C:Users','C:ProgramData'
Puedes añadir otras rutas si lo ves necesario pero esas son suficientes.

Edito para colgarme de #1 y que lo vea más gente.
0 K 10
reivaj01 #8 reivaj01
#6 Yo escribo todo con papel y boli
4 K 35
#10 decker
#8 A mi me la pela también, tengo tablillas de piedra, martillo y cincel.
2 K 19
daphoene #34 daphoene
#10 Es un modelo que me encanta, pero hay que reconocer que cuando haces "colleja a niño" + F para buscar en un texto, es bastante más lento de lo normal, y a veces el código huele a pis, por un fallo en el boyware que le hace tomar represalias innecesarias...
0 K 11
#35 decker
#34 Has probado L + N (látigo + niño) ?? suelen darse mas prisa.
0 K 10
daphoene #38 daphoene
#35 Sí, es más rápido, pero a veces el archivo se corrompe, y al abrirlo al día siguiente la mitad de las runas son pollas con pelos.
0 K 11
smilo #13 smilo
Curioso que siempre sean hackers chinos, rusos o norcoreanos :tinfoil:
2 K 32
sofazen #16 sofazen
#13 En los papeles de malvados está prohibida la diversidad {0x1f602}
0 K 9
Nobby #25 Nobby
#16 bueno, los chinos también pueden ser trans... :troll:
1 K 21
#18 lorne_malvo
#13 Bueno, las IPs son las que son y vienen de donde vienen: esto no es ideológico sino un dato objetivo estadístico. Norcoreanos no es habitual, pero tráfico malicioso que proviene desde China, en mi empresa es fácilmente 90%. Y en los inicios de la guerra de Ucrania, tuvimos que prohibir el tráfico ruso por un intento de ataque/suplantación similar a este (software que se hacia pasar por el original con malware que conectaba a servidores rusos). También puede ser por que dejan a hackers del resto del mundo hacer lo que les de la gana sin problemas con la justicia y que mi empresa es de USA.
3 K 19
sofazen #36 sofazen
#18 Claro porque los hackers usan IPS propias, nunca vpns de otros países. Se trata de que se sepa de dónde vienen.
0 K 9
#26 famufa
#13 Porque el auténtico hacker labora con capucha y los ojos medio cerraos
0 K 7
tonibaz #27 tonibaz
#13 y los oligarcas solo pueden ser rusos, no es posible que haya ni uno solo en el resto del globo
1 K 15
tommyx #32 tommyx
#27 y casoplones solo los tienen políticos con coleta
0 K 8
tommyx #31 tommyx
#13 los otros ya venden los productos con las puertas traseras :troll:
0 K 8
ochoceros #3 ochoceros
#2 Corregido, gracias.
1 K 24
tommyx #12 tommyx
#11 por?
Seea mas seguro el software privativo por no ver su código?

Aquí hablamos de un problema de seguridad de sistemas del proveedor del espacio donde se subían las actualizaciones, no de notepad++ en su origen.
1 K 19
prejudice #29 prejudice *
#12 bueno, realmente les podría haber pasado lo mismo aunque no sean software libre. Mas bien me entristece por que es una aplicación a la que le tengo cariño, y no me gustaría que se deje de usar por un evento desafortunado
0 K 6
tommyx #30 tommyx
#29 por eso he hecho el comentario.
No, han cambiado de proveedor del repositorio (donde ha habido el problema)

Es muy buena herramienta.
Sino aquí hay una réplica que funciona sobre cualquier sistema. La uso en Linux

github.com/Budgiem8/nextpad
0 K 8
#28 WordofGod125603
A ver, el ataque fue muy más pequeño de lo que parece, y fue dirigido a Asia Oriental, que sea tema del gobierno Chino hace agua por todas partes.
Desde occidente te venden que China controla todo y se van a hackear a ellos mismos? Además de que podías tener la aplicación, actualizar y no ser infectado, ya que requería unos criterios específicos.

Por lo tanto, no fue algo global ni masivo, fue un ataque para Asia, y se encontraron IPs de países como Malasia, por lo que no se puede descartar un ataque desde fuera, pero claro, los malos son los Chinos, Rusia y Corea del Norte, no los otros, de Alejandro Amenábar.
1 K 17
#5 famufa
Me da igual, uso vi...
1 K 13
LinuxKitten #6 LinuxKitten
#5 Me too, uso mg.
0 K 6
prejudice #11 prejudice *
#5 #6 Uso hx (helix), pero no me da igual, tengo algunas máquinas windows con notepad++ y a parte creo que es un evento negativo que puede perjudicar la apariencia del software libre
0 K 6
El_Hombre_Blandengue #22 El_Hombre_Blandengue
#5 Me da igual, yo uso un punzón
1 K 9
Benzo #14 Benzo *
* editado
0 K 10
EGraf #4 EGraf
actualizado, gracias!
0 K 10
Xergi #17 Xergi
Ok, pero no me afecta, mi señora corre el programa Notaria 1.2, y da fe de todo.
0 K 9
#37 mariopg
puto cáncer los hackers
0 K 8
ne0x #7 ne0x
Hace tiempo que uso sublime, pero aún así lo desinstalaré
0 K 7
JohnSmith_ #24 JohnSmith_
#7 Si te has comido una actualizacion chunga, desinstalarlo no te va a valer de nada.
2 K 31

menéame