Rombo
Rombo con líneas discontinuas de color oscuro

Notepad++ Hijacked: qué pasó y cómo protegernos

Notepad++ hijacked: guía, verificación de firmas y medidas

Resumen en 60 segundos

Aprendimos de un caso real: el mecanismo de actualización de Notepad++ (WinGUp) fue secuestrado a nivel de infraestructura del antiguo hosting entre junio y diciembre de 2025, redirigiendo algunas peticiones de actualización hacia instaladores maliciosos. La respuesta oficial incluyó reforzar la verificación y recomendar actualizar manualmente a 8.9.1 o superior desde la web oficial. Nuestra postura como organización (aunque no usamos Notepad++) se centra en descargas solo desde fuentes oficiales, validación de firmas/hashes y concienciación del personal.

"Notepad++ en sí no fue hackeado. El problema afectó al sistema de actualización automática (WinGUp), que fue explotado tras un compromiso de la infraestructura de nuestro anterior proveedor de hosting." — Notepad++

Fuente: Notepad++

Qué ocurrió de verdad: hijacking del updater (WinGUp) y compromiso de infraestructura

El binario oficial de Notepad++ no fue alterado en origen; el ataque se produjo en la cadena de suministro, comprometiendo la infraestructura del antiguo proveedor de hosting donde operaba el script de actualización. Ciertas solicitudes del updater (gup.exe/WinGUp) fueron redirigidas a servidores del atacante para entregar instaladores troyanizados a un número muy limitado de víctimas (selección “quirúrgica”).

En nuestra experiencia, este vector es clásico de ataques a software ampliamente difundido: cuando hay intermediarios (CDN, scripts de descarga, mirrors), robustecer firma/certificado y validaciones es crítico.

"Chinese state-sponsored threat actors were likely behind the hijacking of Notepad++ update traffic last year that lasted for almost half a year." — BleepingComputer

Cronología y versiones afectadas (junio–diciembre 2025) y el refuerzo en 8.9.1

  • Junio–diciembre de 2025: redirecciones selectivas del updater hacia cargas maliciosas (pocas víctimas, enfoque dirigido).
  • 18 nov 2025 – v8.8.8: primera mención explícita a problema de hijacking en WinGUp y recomendación de actualizar manualmente descargando el instalador oficial.
  • 9 dic 2025 – v8.8.9: publicación que describe el tráfico secuestrado y el descargador malicioso; se sigue insistiendo en descarga manual.
  • 2 feb 2026 – aclaración oficial: confirmación de compromiso del proveedor de hosting y no del binario de Notepad++; alcance limitado, selectivo.
  • Recomendación reciente: instalar 8.9.1+ por los refuerzos de validación y firmados.

"Recomendamos descargar la versión v8.9.1 y ejecutar el instalador para actualizar Notepad++ manualmente. La incidencia ya ha sido completamente resuelta." — Notepad++

Fuente: Notepad++

¿Fuimos víctimas? Señales y comprobaciones rápidas

Aunque no usamos Notepad++, nos regimos por este checklist para investigar posibles impactos en entornos mixtos:

  1. Origen de la instalación/actualización: ¿fue mediante el updater incrustado o descarga manual desde el sitio oficial? (Más riesgo si fue el updater).
  2. Versiones y fechas: instalaciones/updates entre junio y diciembre de 2025 merecen revisión adicional.
  3. Logs y red: revisar peticiones del gup.exe/WinGUp y si apuntaron a dominios/IPS no oficiales.
  4. EDR/AV: buscar artefactos anómalos (instaladores temporales no firmados, persistence).
  5. Comunidad/IOC: la comunidad menciona un número reducido (~una docena) de víctimas con geos específicas; aun así, verificamos.

"De todos los intentos de actualización, solo se registró una docena de afectados; el resto de los usuarios recibió la actualización con normalidad y sin ningún tipo de alteración." — Notepad++ Community FAQ

Medidas inmediatas: descarga segura, actualización manual y verificación de firma/hash

Así lo aplicamos en Bitralix para nuestro stack y recomendamos a clientes:

  • Descarga manual del instalador desde el sitio oficial; evitar mirrors de terceros.
  • Validación de firma digital del ejecutable/instalador y comprobación de hash (publicado por el proveedor, cuando esté disponible).
  • Bloqueo del updater (temporal) en endpoints gestionados si hay dudas, y despliegue centralizado de la versión saneada (8.9.1+).
  • Lista blanca de aplicaciones (WDAC/AppLocker) y control de orígenes de descarga.
  • Concienciación: insistimos en “solo fuentes oficiales” y en no instalar si falta la firma correcta.

"Se recomienda a los usuarios descargar manualmente la versión oficial e instalarla para actualizar Notepad++ mediante el instalador oficial." — Notepad++ v8.8.8 release

Fuente: Notepad++

Endurecimiento para empresas: controles por capas que sí funcionan

En nuestros procedimientos de cliente, lo que mejor nos ha funcionado:

  • Gestión de orígenes: proxy con inspección TLS y lista permitida de dominios oficiales.
  • Revisión de integridad: política para comprobar firma y registrar el hash de binarios críticos.
  • EDR + reglas específicas para gup.exe y artefactos temporales de instaladores.
  • Cierre del bucle: patching orquestado y reportes de conformidad (quién tiene 8.9.1+ y quién no).
  • Cultura: campañas breves y repetidas sobre “descarga segura”. En nuestra experiencia, la repetición trimestral reduce incidentes por shadow IT.

DLL hijacking en 2025: qué es y cómo mitigarlo

Paralelamente al incidente del updater, se documentaron reportes y CVE sobre DLL hijacking en versiones 2025 (carga de DLL en rutas no seguras o en directorios de plugins). Este vector permite ejecución de código si un atacante controla el path.

  • Mantener Notepad++ actualizado.
  • Revisar directorios de plugins y políticas de carga.
  • Evitar rutas escribibles por usuarios para binarios/librerías.

Preguntas frecuentes (FAQs)

¿Qué significa “Notepad++ hijacked” y en qué nos afecta? Se refiere al secuestro del mecanismo de actualización (WinGUp) a nivel de

Se refiere al secuestro del mecanismo de actualización (WinGUp) a nivel de infraestructura del proveedor de hosting. Afecta si actualizamos mediante el updater durante jun–dic 2025.

¿Cómo verificamos la firma y el hash del instalador de Notepad++?

Descargamos manualmente desde el sitio oficial y comprobamos la firma digital del ejecutable; contrastamos el hash con el publicado por el proyecto (cuando esté disponible).

¿Qué versión es segura ahora mismo?

La recomendación oficial es 8.9.1 o superior, con refuerzos de validación. Actualizamos manual y centralizadamente.

¿Fue un ataque masivo?

No. Fue selectivo, con pocas víctimas (alrededor de una docena), según la comunidad y fuentes técnicas.

¿Notepad++ estuvo “hackeado”?

El editor no; lo comprometido fue la infraestructura del hosting que redirigía el updater.

¿Qué relación hay con “DLL hijacking en Notepad++”?

Es otro vector reportado en 2025 (carga insegura de DLL), mitigable manteniendo versiones recientes y controlando rutas de carga.

Conclusión

El caso Notepad++ Hijacked nos recuerda que los ataques a cadenas de suministro pueden pasar desapercibidos si el control cae en un eslabón “externo” como el hosting. Nuestra receta: descarga manual desde el sitio oficial, verificar firmas/hashes, controlar el updater, mantener 8.9.1+, y consolidar una cultura de descarga segura. Aunque no usamos Notepad++, aplicamos exactamente estas prácticas a todo nuestro stack y a los softwares de nuestros clientes.

¿Quieres blindar tu ciclo de descargas y actualizaciones?

En Bitralix diseñamos políticas de descarga segura, repositorios privados y validación de binarios desde la capa de hosting. Implantamos listas blancas, proxy/SSL inspeccionado y flujos de despliegue firmados.

Auditoría de descarga segura y validación de firmas con Bitralix
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.