Notepad++ confirma un ataque a su sistema de actualizaciones que distribuyó malware a sus usuarios

El proyecto Notepad++ confirmó que su sistema de actualizaciones, conocido como WinGUp, fue comprometido entre los meses de junio y diciembre de 2025. Durante ese periodo, el tráfico legítimo de actualización fue interceptado, lo que provocó que determinados usuarios recibieran binarios maliciosos en lugar de las versiones oficiales del software. Según la información disponible, la intervención no fue masiva, sino selectiva, lo que sugiere un ataque de carácter dirigido.

De acuerdo con la investigación, los atacantes lograron comprometer la infraestructura de alojamiento utilizada por Notepad++, redirigiendo las peticiones de actualización automática hacia servidores bajo su control. El acceso no autorizado a la infraestructura principal se mantuvo activo hasta el 2 de septiembre de 2025. No obstante, algunas credenciales permanecieron operativas más allá de esa fecha, permitiendo redirecciones maliciosas de forma residual hasta el 2 de diciembre de 2025.

En los casos afectados, el mecanismo de actualización automática instaló puertas traseras o componentes maliciosos, que los investigadores han vinculado a la familia de malware Chrysalis, relacionada a su vez con un conjunto de herramientas previamente atribuido al actor conocido como Lotus Blossom.
Diversos informes públicos elaborados por equipos de seguridad independientes apuntan a la posible implicación de Lotus Blossom, un grupo de espionaje de carácter estatal. La atribución se fundamenta en similitudes en el código malicioso, coincidencias en la infraestructura utilizada y en la tipología de los objetivos afectados. No obstante, las investigaciones oficiales continúan abiertas y no se ha emitido una atribución definitiva.

Datos técnicos e indicadores de compromiso clave

Durante el análisis técnico se obtuvo la siguiente información (IOC: indicadores de compromiso; TTP: tácticas, técnicas y procedimientos):

• Puerta trasera detectada: Chrysalis (TTP documentados por fuentes especializadas).
• Comportamiento observado: se observaron procesos inusuales lanzados por el actualizador WinGUp, creación de ejecutables no firmados en carpetas TEMP y conexiones salientes hacia infraestructura controlada por el atacante.
• Alcance: el ataque fue dirigido y selectivo; no se distribuyó una actualización maliciosa a toda la base de usuarios, por lo que el número exacto de afectados se desconoce.
• Mitigación del proveedor: Notepad++ publicó versiones que corrigen el mecanismo de actualización y recomendó la reinstalación manual de una versión segura.

Impactos según el público

Para usuarios particulares

• Riesgo de espionaje local (registro de teclas, exfiltración de archivos) si se recibió la actualización maliciosa.
• Pérdida de integridad del entorno y posible propagación lateral en equipos corporativos.

Para empresas y administradores TI

• Riesgo en entornos de desarrollo: una estación comprometida puede convertirse en punto de entrada a la cadena de suministro interna.
• Necesidad de revisar telemetría y registros para detectar infecciones silenciosas en sistemas críticos

Como comprobar y qué debes de hacer ahora

Para verificar si se ha producido una exposición y, en su caso, remediar la situación, se recomienda seguir las siguientes medidas:

1. Verificar la versión instalada de Notepad++ (Ayuda → Acerca de) y confirmar 8.9.1 o superior.
2. Descargar e instalar manualmente desde el sitio oficial si existiera duda sobre la integridad: https://notepad-plus-plus.org/downloads/.
3. Revisar procesos y archivos inusuales: buscar ejecutables temporales (p. ej., update.exe, AutoUpdater.exe) y actividad anómala del proceso gup.exe (actualizador).
4. Ejecutar análisis con soluciones EDR/antivirus actualizadas y, en entornos corporativos, realizar escaneos multiplataforma con fuentes de IOC (incluida la firma de Chrysalis cuando esté disponible).

En caso de que exista infección o riesgo de infección, se recomienda seguir los pasos detallados a continuación:

Usuarios particulares

• Desinstalar Notepad++ y reinstalar la versión oficial desde el sitio del proyecto.
• Cambiar contraseñas si el equipo mostró signos de compromiso y revisar accesos a cuentas sensibles.
• Ejecutar un análisis completo con antivirus/EDR actualizado; si no fuera posible garantizar la limpieza, reinstalar el sistema desde una imagen fiable.

Administradores y responsables de seguridad

• Forzar reinstalación manual en estaciones de trabajo y servidores de desarrollo.
• Revisar telemetría y registros (proxy, firewall, EDR) en busca de conexiones salientes sospechosas y procesos anómalos relacionados con WinGUp.
• Aplicar segmentación y controles de acceso en entornos de desarrollo; considerar el bloqueo temporal del ejecutable de actualización automática hasta completar la verificación.
• Compartir IOC internos y coordinar la respuesta con proveedores de seguridad; notificar a las autoridades competentes si procediera.

Más información.

• Fuentes: notepad-plus-plus.org y rapid7.com.