Un fallo de seguridad recientemente identificado en Notepad++, el popular editor de código abierto, podría permitir a atacantes ejecutar código malicioso en los equipos afectados mediante una técnica conocida como secuestro de DLL (DLL hijacking).
El problema, rastreado como CVE-2025-56383, se encuentra en la versión 8.8.3 y potencialmente afecta a todas las instalaciones del software, lo que pone en riesgo a millones de usuarios en todo el mundo.
Cómo funciona el ataque
La vulnerabilidad permite a un atacante local plantar una librería DLL maliciosa en un directorio donde la aplicación espera encontrar componentes legítimos. Al ejecutar Notepad++, la aplicación carga esa DLL falsa en lugar de la original, lo que abre la puerta a la ejecución de código arbitrario.
En las pruebas realizadas con un exploit de tipo proof-of-concept (PoC), los investigadores demostraron que era posible reemplazar el archivo NppExport.dll en el directorio de plugins de Notepad++. El atacante podía mantener la funcionalidad original mediante una técnica llamada proxying, que reenvía las llamadas legítimas al archivo auténtico mientras ejecuta código malicioso en segundo plano.
Riesgos y persistencia
Si bien el fallo requiere acceso local previo al sistema —ya sea mediante malware, phishing u otro vector de intrusión—, su impacto es significativo: el código malicioso se ejecuta cada vez que el usuario abre Notepad++, lo que otorga persistencia al atacante incluso después de reinicios del sistema.
Mitigaciones y recomendaciones
Hasta el momento, los desarrolladores de Notepad++ no han publicado un parche oficial para corregir CVE-2025-56383.
Los expertos en ciberseguridad recomiendan:
- Descargar siempre Notepad++ desde fuentes oficiales.
- Implementar sistemas de monitoreo de integridad de archivos en los directorios de instalación.
- Estar atentos a comportamientos inusuales en la aplicación.
Mientras no exista una actualización que corrija el fallo, los usuarios deben extremar precauciones para evitar que esta vulnerabilidad sea aprovechada como un vector de ataque en sus sistemas.
Fuente: https://cybersecuritynews.com
