Notepad++ ha lanzado una solución de seguridad para cerrar las brechas que fueron explotadas por un actor de amenazas avanzado de China para secuestrar el mecanismo de actualización de software y entregar selectivamente malware a objetivos de interés.
La actualización de la versión 8.9.2 incorpora lo que su responsable Don Ho llama un diseño de «doble bloqueo» que tiene como objetivo hacer que el proceso de actualización sea «robusto y efectivamente inexplotable». Esto incluye la verificación del instalador firmado descargado de GitHub (implementado en la versión 8.8.9 y posteriores), así como la verificación recién agregada del XML firmado devuelto por el servidor de actualización en notepad-plus-plus(.)org.
Además de estas mejoras, se han introducido cambios centrados en la seguridad en WinGUp, el componente de actualización automática.
- Eliminación de libcurl.dll para eliminar el riesgo de carga lateral de DLL
- Eliminación de dos opciones SSL de cURL no seguras: CURLSSLOPT_ALLOW_BEAST y CURLSSLOPT_NO_REVOKE
- Restricción de la ejecución de la gestión de complementos a programas firmados con el mismo certificado que WinGUp
La actualización también aborda una vulnerabilidad de alta gravedad (CVE-2026-25926, puntuación CVSS: 7,3) que podría provocar la ejecución de código arbitrario en el contexto de la aplicación en ejecución.
«Existe una vulnerabilidad de ruta de búsqueda insegura (CWE-426) al iniciar Windows Explorer sin una ruta ejecutable absoluta», dijo Ho. «Esto puede permitir la ejecución de un explorer.exe malicioso si un atacante puede controlar el directorio de trabajo del proceso. Bajo ciertas condiciones, esto podría conducir a la ejecución de código arbitrario en el contexto de la aplicación en ejecución».
El desarrollo se produce semanas después de que Notepad ++ revelara que una infracción a nivel del proveedor de alojamiento permitió a los actores de amenazas secuestrar el tráfico de actualizaciones a partir de junio de 2025 y redirigir las solicitudes de ciertos usuarios a servidores maliciosos para entregar una actualización envenenada. El problema se detectó a principios de diciembre de 2025.
Según Rapid7 y Kaspersky, las actualizaciones manipuladas permitieron a los atacantes entregar una puerta trasera previamente indocumentada denominada Chrysalis. El incidente de la cadena de suministro, rastreado bajo el identificador CVE CVE-2025-15556 (puntuación CVSS: 7,7), se ha atribuido a un grupo de hackers del nexo con China llamado Lotus Panda.
Se recomienda a los usuarios de Notepad++ que actualicen a la versión 8.9.2 y se aseguren de que los instaladores se descarguen del dominio oficial.