L’editor de text i codi Notepad++ ha publicat una actualització de seguretat per a corregir fallades en el seu mecanisme d’actualització que va aprofitar un actor d’amenaces avançat (vinculat amb grups de ciberespionatge de la Xina) per a segrestar actualitzacions legítimes i distribuir programari maliciós dirigit a usuaris específics. Este incident forma part d’un compromís de la cadena de subministrament que va afectar les versions anteriors del programari i va possibilitar el lliurament d’una porta del darrere (backdoor) anomenada Chrysalis.
Anàlisi
La vulnerabilitat es trobava en el procés d’actualització automàtica de Notepad++, on la falta de mecanismes robustos de verificació permetia que les actualitzacions foren interceptades i redirigides cap a servidors controlats per atacants. Això va permetre que se serviren instal·ladors maliciosos en lloc de versions legítimes.
La sofisticació de l’atac indica un compromís de la infraestructura en l’àmbit del proveïdor d’allotjament, no l’explotació directa d’una fallada en el codi font de Notepad++. Entre juny i desembre de 2025, els actors van aconseguir redirigir part del trànsit d’actualització per a determinats usuaris i entregar una porta del darrere sense documentar anomenada Chrysalis, capaç de l’execució remota de codi i altres capacitats malicioses.
Recursos afectats
- Notepad++: versions anteriors a la 8.8.9 amb actualitzador WinGUp si no s’apliquen verificacions robustes.
- Les versions sense el mecanisme de verificació de firma complet (abans de 8.9.2) estan potencialment en risc d’haver sigut blanc d’actualitzacions malicioses durant el període de compromís.
Recomendacions
- Actualitzar immediatament totes les instal·lacions de Notepad++ a la versió 8.9.2 o superior.
Referencias
- https://thehackernews.com/2026/02/notepad-fixes-hijacked-update-mechanism.html
Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.
Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i més continguts: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials, Facebook (CSIRT-CV), X (@CSIRTCV) i YouTube (@csirt-cv6271).