El editor de texto Notepad++ ha publicado la versión 8.8.9 para corregir un fallo crítico en su mecanismo de actualización automática. La incidencia se detectó después de que varios usuarios informaran de que, en lugar de descargar instaladores legítimos, el sistema de autoactualización estaba ejecutando binarios sospechosos en sus equipos.
Fallo en la autoactualización de Notepad++: comportamiento anómalo de GUP.exe
Los primeros indicios surgieron en los foros de la comunidad de Notepad++. Diversos usuarios observaron que el módulo de actualización GUP.exe (WinGUp) lanzaba un archivo desconocido llamado %Temp%\AutoUpdater.exe. Este ejecutable realizaba actividades típicas de reconocimiento en una intrusión: recopilaba información del sistema, ejecutaba comandos de inventario y almacenaba los resultados en un archivo a.txt.
A continuación, el binario malicioso empleaba curl.exe para exfiltrar la información a través del servicio temp[.]sh, una plataforma de intercambio de texto y archivos que ya ha sido utilizada en otras campañas maliciosas. Este patrón encaja con la fase inicial de una comprometida de sistema, donde los atacantes buscan contexto antes de avanzar hacia el movimiento lateral o el despliegue de malware más avanzado.
Miembros de la comunidad subrayaron que el WinGUp legítimo utiliza la biblioteca libcurl integrada y no debería invocar un binario externo curl.exe ni recolectar telemetría de este tipo. Esto apuntaba a dos posibles escenarios: un instalador no oficial de Notepad++ manipulado o un ataque de interceptación y manipulación del tráfico de actualización (por ejemplo, un ataque Man-in-the-Middle).
Cómo funciona la actualización de Notepad++ y dónde se abre la puerta
Cuando Notepad++ busca nuevas versiones, consulta la
https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<numero_version>
Si existe una actualización, el servidor responde con un XML que indica la versión disponible y la dirección desde la que descargar el instalador, mediante el campo <Location>. El experto en seguridad Kevin Beaumont advirtió que, si un atacante consigue interceptar y modificar este tráfico, podría reemplazar la URL de descarga y hacer que el mecanismo de actualización obtenga y ejecute cualquier archivo malicioso.
En términos prácticos, el sistema de autoactualización se convierte en un vector privilegiado de distribución de malware, ya que los usuarios confían en que las descargas proceden de los servidores oficiales y suelen otorgarles permisos elevados para instalar actualizaciones.
Incidentes dirigidos y posible motivación geopolítica
Según Beaumont, al menos tres organizaciones le reportaron incidentes en los que sistemas con Notepad++ parecían haber sido utilizados como punto de acceso inicial. En estos casos, la actividad posterior del atacante era manual y dirigida, no automatizada, lo que sugiere operaciones focalizadas más que una campaña masiva.
Un denominador común de las víctimas era su actividad o interés en la región de Asia Oriental, lo que refuerza la hipótesis de que se trataba de ataques dirigidos con posible motivación geopolítica o económica, y no de simples infecciones oportunistas.
Respuesta del proyecto Notepad++: refuerzo de la cadena de confianza
Como primera medida, el desarrollador principal, Don Ho, lanzó la versión 8.8.8, que centralizó las descargas de actualización en el repositorio oficial de GitHub. No obstante, esta medida por sí sola no mitiga ataques en los que el tráfico pueda ser interceptado y modificado antes de llegar al usuario.
El verdadero salto de seguridad se introduce con Notepad++ 8.8.9. A partir de esta versión, tanto la aplicación como el módulo WinGUp validan la firma digital y el certificado de cada instalador descargado durante la autoactualización. Si la firma es inválida, inexistente o el certificado no pertenece al editor legítimo, el proceso de actualización se aborta de forma automática.
Los desarrolladores recuerdan además que desde la versión 8.8.7 todos los binarios e instaladores oficiales de Notepad++ están firmados con un certificado válido. Las organizaciones que hayan instalado certificados raíz personalizados (por ejemplo, para proxies corporativos con inspección TLS) deberían revisar su almacén de certificados de confianza y eliminar raíces obsoletas o poco confiables, reduciendo así la superficie para ataques de intermediario.
Ataques a la cadena de suministro de software: lecciones y recomendaciones
El incidente de Notepad++ se enmarca en la creciente ola de ataques a la cadena de suministro de software. Casos como CCleaner (2017) o SolarWinds Orion (2020) demostraron que comprometer el proceso de actualización de un producto legítimo puede impactar a miles de organizaciones. Informes como el “State of the Software Supply Chain” de Sonatype han señalado incrementos de varios cientos por ciento en este tipo de ataques en los últimos años.
Para usuarios y empresas que emplean Notepad++ se recomienda:
- Actualizar de inmediato a la versión 8.8.9 o superior, descargándola solo desde el sitio oficial o el repositorio GitHub del proyecto.
- Verificar que los instaladores cuenten con una firma digital válida del desarrollador de Notepad++ antes de su ejecución.
- Evitar descargas desde sitios no oficiales, redes P2P o anuncios sospechosos, fuentes habituales de instaladores troyanizados.
- Realizar auditorías periódicas del almacén de certificados raíz, eliminando certificados desconocidos o innecesarios.
- Implantar soluciones modernas de protección endpoint (EDR/antivirus) capaces de detectar comportamientos anómalos, como ejecuciones inesperadas de curl.exe, uso de servicios poco conocidos o escritura de datos de inventario en rutas inusuales.
La vulnerabilidad en la autoactualización de Notepad++ ilustra que incluso herramientas cotidianas, como un editor de texto, pueden convertirse en eslabones críticos de la seguridad de la cadena de suministro. Mantener el software siempre actualizado, comprobar firmas digitales y extremar el control sobre las fuentes de descarga ya no es una práctica opcional, sino una medida básica de higiene en ciberseguridad que debería adoptarse sistemáticamente en hogares y organizaciones de cualquier tamaño.
