Usuarios de Notepad++, quizás hayáis sido hackeados por chinos

Un grave incidente de ciberseguridad ha sacudido a la comunidad de usuarios de Notepad++, uno de los editores de texto más populares para Windows.

Durante aproximadamente seis meses, la infraestructura encargada de distribuir sus actualizaciones fue comprometida por un grupo de atacantes vinculados presuntamente al Estado chino, que aprovechó el control obtenido para distribuir versiones modificadas del programa a objetivos concretos.

Un ataque silencioso a la cadena de suministro

Según explicaron los desarrolladores del proyecto, el ataque comenzó en junio con una intrusión a nivel de infraestructura que permitió a los atacantes interceptar y redirigir el tráfico de actualizaciones legítimas. En lugar de conectarse a los servidores oficiales, algunos usuarios seleccionados eran enviados de forma transparente a servidores maliciosos desde los que se distribuían versiones de Notepad++ con puertas traseras.

El propio responsable del proyecto pidió disculpas públicamente a los usuarios afectados, reconociendo que el control total de la infraestructura no se recuperó hasta diciembre, pese a que algunas brechas se habían cerrado antes.

Chrysalis, una puerta trasera avanzada y persistente

El acceso prolongado permitió a los atacantes instalar un malware hasta ahora desconocido, bautizado como Chrysalis. La firma de ciberseguridad Rapid7 lo ha descrito como una puerta trasera personalizada y muy completa.

De acuerdo con sus investigadores, el amplio conjunto de capacidades de Chrysalis demuestra que se trata de una herramienta sofisticada y diseñada para permanecer en los sistemas comprometidos, no de un simple implante temporal.

Persistencia del ataque pese a los primeros parches

Las investigaciones internas revelaron que, aunque parte de la infraestructura dejó de estar comprometida el 2 de septiembre, los atacantes conservaron credenciales válidas para servicios internos hasta el 2 de diciembre. Esto les permitió seguir redirigiendo selectivamente el tráfico de actualizaciones incluso después de aplicarse correcciones iniciales.

Los registros de eventos muestran que los atacantes intentaron explotar de nuevo una de las vulnerabilidades una vez corregida, aunque en ese caso el intento no tuvo éxito.

Control remoto y ataques “hands on keyboard”

El investigador independiente Kevin Beaumont aportó un dato especialmente preocupante: tres organizaciones distintas confirmaron que equipos con Notepad++ instalado sufrieron incidentes de seguridad que derivaron en ataques de tipo “hands on keyboard”, es decir, con control directo del sistema por parte de los atacantes mediante interfaces web.

Las tres organizaciones afectadas, según Beaumont, tenían intereses estratégicos en Asia Oriental, lo que refuerza la hipótesis de un ataque altamente dirigido.

El eslabón débil: el sistema de actualizaciones

Las sospechas de Beaumont surgieron tras el lanzamiento de Notepad++ 8.8.8, a mediados de noviembre, una versión que introdujo mejoras específicas para reforzar el actualizador frente a secuestros. Este sistema, conocido como GUP o WinGUP, funciona consultando la versión instalada y descargando un archivo definido en un XML remoto, que luego se ejecuta en el sistema.

En versiones antiguas, el proceso presentaba debilidades importantes. Algunas utilizaban certificados raíz autofirmados y, en etapas anteriores, el tráfico ni siquiera estaba cifrado mediante HTTPS. Aunque las descargas estaban firmadas, la verificación no era lo suficientemente robusta como para impedir manipulaciones si un atacante lograba interceptar el tráfico a nivel de proveedor de Internet.

Una hipótesis confirmada meses después

Beaumont publicó su teoría sobre este posible vector de ataque en diciembre, exactamente dos meses antes de que Notepad++ emitiera su aviso oficial. A la luz de la información posterior, ha quedado claro que su análisis era acertado y describía con precisión el método empleado por los atacantes.

Riesgos adicionales: anuncios y extensiones maliciosas

El investigador también alertó de otro problema creciente: los buscadores están saturados de anuncios que promocionan versiones troyanizadas de Notepad++, lo que lleva a muchos usuarios a instalar software comprometido sin saberlo. A esto se suma la proliferación de extensiones maliciosas que amplían aún más la superficie de ataque.

Qué deben hacer los usuarios y las empresas

Los desarrolladores recomiendan que todos los usuarios verifiquen que están utilizando Notepad++ 8.9.1 o superior, descargado manualmente desde el sitio oficial. Para organizaciones grandes que gestionan el despliegue de este editor, Beaumont sugiere medidas más drásticas, como bloquear el acceso a Internet del proceso gup.exe o incluso del propio notepad++.exe, aunque advierte que estas acciones suelen ser excesivas y poco prácticas en la mayoría de entornos.

Quienes sospechen haber sido afectados pueden consultar los indicadores de compromiso publicados por Rapid7 para comprobar si sus sistemas muestran señales de infección.

Un proyecto clave con recursos limitados

Notepad++ ha ganado una enorme base de usuarios gracias a funciones avanzadas que no ofrece el Bloc de notas de Windows. El reciente impulso de Microsoft a su editor mediante la integración de Copilot ha aumentado aún más el interés por alternativas como Notepad++.

Sin embargo, como ocurre con muchos proyectos de código abierto, los recursos disponibles para su mantenimiento y seguridad están muy por debajo de la importancia real que tiene en el ecosistema digital. Los fallos que permitieron este compromiso prolongado podrían haberse detectado y corregido antes con una financiación más adecuada.