Notepad++ ha lanzado una solución de seguridad para tapar las brechas que fueron explotadas por un actor de amenazas avanzado de China para secuestrar el mecanismo de actualización de software y entregar selectivamente malware a objetivos de interés.
El actualización de la versión 8.9.2 incorpora lo mantenedor Don Ho llamadas un diseño de «doble bloqueo» que tiene como objetivo hacer que el proceso de actualización sea «robusto y efectivamente inexplotable». Esto incluye la verificación del instalador firmado descargado de GitHub (implementado en la versión 8.8.9 y posteriores), así como la verificación recién agregada del XML firmado devuelto por el servidor de actualización en notepad-plus-plus.[.]org.
Además de estas mejoras, se han introducido cambios centrados en la seguridad en WinGUp, el componente de actualización automática.
- Eliminación de libcurl.dll para eliminar el riesgo de carga lateral de DLL
- Eliminación de dos opciones SSL de cURL no seguras: CURLSSLOPT_ALLOW_BEAST y CURLSSLOPT_NO_REVOKE
- Restricción de la ejecución de la gestión de complementos a programas firmados con el mismo certificado que WinGUp
La actualización también aborda una vulnerabilidad de alta gravedad (CVE-2026-25926, puntuación CVSS: 7,3) que podría provocar la ejecución de código arbitrario en el contexto de la aplicación en ejecución.
«Una vulnerabilidad de ruta de búsqueda insegura (CWE-426) existe al iniciar el Explorador de Windows sin una ruta ejecutable absoluta», Ho dicho. «Esto puede permitir la ejecución de un explorer.exe malicioso si un atacante puede controlar el directorio de trabajo del proceso. Bajo ciertas condiciones, esto podría conducir a la ejecución de código arbitrario en el contexto de la aplicación en ejecución».
El desarrollo se produce semanas después de que Notepad ++ revelara que una infracción a nivel del proveedor de alojamiento permitió a los actores de amenazas secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir las solicitudes de ciertos usuarios a servidores maliciosos para entregar una actualización envenenada. El problema se detectó a principios de diciembre de 2025.
Según Rapid7 y Kaspersky, las actualizaciones manipuladas permitieron a los atacantes entregar una puerta trasera previamente indocumentada denominada Crisálida. El incidente en la cadena de suministro, rastreado bajo el identificador CVE CVE-2025-15556 (Puntuación CVSS: 7,7), se ha atribuido a un grupo de hackers del nexo con China llamado Lotus Panda.
Se recomienda a los usuarios de Notepad++ que actualicen a la versión 8.9.2 y se aseguren de que los instaladores se descarguen del dominio oficial.
Fuente