Entre junio y diciembre de 2025, cibercriminales presuntamente asociados a China comprometieron la infraestructura de actualizaciones de Notepad++, redirigiendo silenciosamente a determinados usuarios a servidores maliciosos que entregaban malware.
El popular editor de texto y código Notepad++, con millones de descargas y uso extendido entre desarrolladores y administradores de sistemas, fue objetivo de una compleja campaña de ataque a la cadena de suministro que comprometió su mecanismo de actualización oficial a través de una brecha en el proveedor de alojamiento web, según confirmó el propio equipo del proyecto.
La intrusión comenzó en junio de 2025, cuando los atacantes obtuvieron acceso no autorizado al servidor compartido que gestionaba las actualizaciones del software. Esa brecha permitió interceptar y redirigir solicitudes legítimas de actualización dirigidas al dominio oficial a servidores controlados por los hackers, que entregaban binarios maliciosos en lugar de código legítimo. Aunque el acceso directo al servidor se perdió tras una actualización de mantenimiento el pasado 2 de septiembre, las credenciales obtenidas previamente continuaron permitiendo redirecciones de tráfico malicioso hasta 2 de diciembre.
Investigadores de seguridad y firmas independientes, y reconocidos expertos internacionales de ciberseguridad como Kevin Beaumont, han atribuido esta campaña a grupos con vínculos estatales chinos, particularmente al conjunto de amenazas conocido como Lotus Blossom y otros identificados como APT31/Violet Typhoon, que tienen trayectoria en espionaje cibernético global.
De acuerdo con diversos reportes, la selección de objetivos sugiere que los atacantes no buscaban una distribución masiva, sino que se enfocaron en usuarios y organizaciones específicas -en particular entidades con intereses en Asia Oriental, como instituciones financieras y empresas de telecomunicaciones- lo cual coincide con los patrones de operaciones previamente observados en campañas de espionaje de alto nivel.
La técnica empleada no implicó vulnerabilidades directamente en el código de Notepad++ sino una comprometida de la infraestructura de entrega de actualizaciones, una táctica que socava la confianza en procesos que tradicionalmente se consideran seguros. “El compromiso ocurrió a nivel de infraestructura, no a través de fallas en el código de Notepad++”, explicó el desarrollador Don Ho en una publicación oficial.
Durante la campaña, se desplegó un backdoor personalizado, conocido como Chrysalis, diseñado para ofrecer una amplia gama de capacidades de acceso remoto y furtivas técnicas de evasión. Este tipo de herramienta es más que un simple malware temporal, dado que los analistas la describen como un mecanismo sofisticado para establecer accesos persistentes y control remoto dentro de sistemas objetivo.
Tras descubrirse la brecha, el proyecto Notepad++ migró su sitio y su infraestructura de actualizaciones a un proveedor con medidas de seguridad más robustas y lanzó actualizaciones reforzadas (como la versión 8.8.9 y posteriores) con verificación de certificado y firma digital obligatoria, lo que dificulta que actores maliciosos inyecten código sin ser detectados.
Existe un llamado a todos los usuarios de la herramienta a verificar sus instalaciones, escanear en busca de posibles infecciones y actualizar manualmente a versiones que implementen las nuevas protecciones, ya que la falla afectó específicamente a quienes usaron el mecanismo automático de actualización durante el periodo comprometido.