VOLVER A NOTICIAS
InvestigaciónBajo

APT Chino Explotó la Cadena de Suministro de Notepad++ en Ataque Dirigido

3 min de lecturaFuente: Schneier on Security

Un actor de amenazas patrocinado por el estado chino comprometió la infraestructura de actualizaciones de Notepad++ en un sofisticado ataque a la cadena de suministro.

APT Chino Explotó la Cadena de Suministro de Notepad++ en Ataque Dirigido

Un actor de amenazas patrocinado por el estado chino comprometió la infraestructura de actualizaciones de Notepad++ en un sofisticado ataque a la cadena de suministro, entregando versiones troyanizadas del popular editor de texto a objetivos seleccionados. La brecha persistió durante casi seis meses, con los atacantes manteniendo acceso a servicios internos durante tres meses adicionales después de los primeros intentos de remediación.

Detalles Técnicos

El ataque explotó controles insuficientes de verificación de actualizaciones en versiones antiguas de Notepad++. Según los respondedores del incidente:

  • La infraestructura del proveedor de hosting no identificado permaneció comprometida hasta el 2 de septiembre de 2025
  • Los atacantes retuvieron credenciales de servicios internos hasta el 2 de diciembre de 2025, permitiendo la redirección continua del tráfico de actualizaciones a servidores maliciosos
  • Los registros de eventos muestran intentos fallidos de re-explotación después de que las vulnerabilidades fueran parcheadas
  • El actor de amenazas apuntó específicamente al dominio de Notepad++ para eludir los mecanismos de verificación de actualizaciones heredados

Los responsables de Notepad++ confirmaron que solo las versiones anteriores a la 8.9.1 son vulnerables a este ataque a la cadena de suministro. La compañía no ha revelado el número total de usuarios afectados, pero enfatizó que el ataque fue "altamente dirigido" en lugar de generalizado.

Análisis de Impacto

Este incidente demuestra la creciente sofisticación de los ataques a la cadena de suministro por parte de amenazas persistentes avanzadas (APTs). Los riesgos clave incluyen:

  • Objetivos selectivos: Los atacantes pudieron entregar malware a organizaciones o individuos específicos mientras mantenían actualizaciones legítimas para otros
  • Persistencia a largo plazo: La ventana de compromiso de 6 meses permitió una extensa fase de reconocimiento y entrega de payloads
  • Secuestro de actualizaciones: La capacidad de redirigir el tráfico de actualizaciones incluso después de la remediación inicial destaca los desafíos de asegurar completamente los canales de distribución de software

Recomendaciones

Los equipos de seguridad deben:

  1. Verificar inmediatamente que todas las instalaciones de Notepad++ estén actualizadas a la versión 8.9.1 o posterior
  2. Auditar sistemas en busca de signos de compromiso, especialmente aquellos que ejecutan versiones antiguas
  3. Revisar los mecanismos de actualización de otro software crítico para identificar brechas similares en la verificación
  4. Monitorear comportamientos inusuales en actualizaciones, como redirecciones inesperadas o cambios en certificados
  5. Implementar verificación de firma de código para todas las actualizaciones de software como medida de defensa en profundidad

El equipo de Notepad++ no ha publicado indicadores específicos de compromiso (IOCs), pero aconseja a las organizaciones tratar cualquier comportamiento inesperado en las actualizaciones como potencialmente malicioso.

Compartir

TwitterLinkedIn