Notepad++ fue hackeado durante meses: comprueba que tienes la última versión

La infraestructura que distribuye actualizaciones para Notepad++, un editor de texto ampliamente utilizado para Windows, se vio comprometida durante seis meses por presuntos hackers del Estado chino, quienes distribuyeron versiones de la aplicación con una puerta trasera a objetivos seleccionados, según informaron los desarrolladores.

«Pido disculpas sinceras a todos los usuarios afectados por este secuestro», escribió el lunes el autor de una publicación en el sitio oficial notepad-plus-plus.org. La publicación explicaba que el ataque comenzó en junio pasado con una «vulneración a nivel de infraestructura» que permitió a actores maliciosos interceptar y redirigir el tráfico de actualizaciones destinado a notepad-plus-plus.org. Los hackers, a quienes varios investigadores vincularon con el gobierno chino, redirigieron selectivamente a ciertos usuarios a servidores de actualización maliciosos donde recibían actualizaciones con puertas traseras. Notepad++ recuperó el control de su infraestructura hasta diciembre.

Los ciberdelincuentes usaron su acceso para instalar una carga útil nunca antes vista, denominada Chrysalis. La empresa de seguridad Rapid 7 la describió como una «puerta trasera personalizada y con numerosas funciones». Los investigadores añadieron: «Su amplia gama de capacidades indica que es una herramienta sofisticada y permanente, no una simple utilidad desechable».

Hackeo práctico del teclado

Notepad++ afirmó que los funcionarios del proveedor anónimo que aloja la infraestructura de actualización consultaron con los equipos de respuesta ante incidentes y descubrieron que permaneció comprometida hasta el 2 de septiembre. Aun así, los hackers mantuvieron las credenciales de los servicios internos hasta el 2 de diciembre, lo que les permitió seguir redirigiendo el tráfico de actualizaciones seleccionado a servidores maliciosos. El actor de amenazas «se centró específicamente en el dominio de Notepad++ con el objetivo de explotar los controles de verificación de actualizaciones insuficientes que existían en versiones anteriores de la plataforma». Los registros de eventos indican que los delincuentes intentaron volver a explotar una de las vulnerabilidades tras su corrección, pero fracasaron.

Según el investigador independiente Kevin Beaumont, tres organizaciones le informaron que los dispositivos dentro de sus redes que tenían instalado Notepad++ experimentaron «incidentes de seguridad» que «resultaron en keylogging (ataques de teclado)», lo que significa que los hackers pudieron tomar el control directo mediante una interfaz web. Las tres organizaciones, afirmó Beaumont, tienen intereses en Asia Oriental.

El investigador explicó que sus sospechas surgieron cuando la versión 8.8.8 introdujo correcciones de errores a mediados de noviembre para «proteger el actualizador de Notepad++ y evitar que sea hackeado para entregar algo… que no sea Notepad++».

La actualización modificó un actualizador personalizado de Notepad++, conocido como GUP o, alternativamente, WinGUP. El ejecutable gup.exe informa la versión en uso a https://notepad-plus-plus.org/update/getDownloadUrl.php y recupera la URL de la actualización desde un archivo llamado gup.xml. El archivo especificado en la URL se descarga al directorio %TEMP% del dispositivo y se ejecuta.

«Si puede interceptar y cambiar este tráfico, puede redirigir la descarga a cualquier ubicación donde aparezca cambiando la URL en la propiedad. Se supone que este tráfico se realiza mediante HTTPS; sin embargo, se puede manipular si se accede a él a nivel de ISP e intercepta TLS. En versiones anteriores de Notepad++, el tráfico se realizaba únicamente mediante HTT», afirma Beaumont.

El investigador añade que las descargas están firmadas; no obstante, algunas versiones anteriores de Notepad++ usaban un certificado raíz autofirmado, disponible en Github. Con la versión 8.8.7, la anterior, esto se revirtió a GlobalSign. Es decir, existe la posibilidad de que la descarga no se verifique de forma rigurosa para detectar manipulaciones.

Dado que el tráfico a notepad-plus-plus.org es bastante escaso, es posible acceder a la cadena del ISP y redirigir a otra descarga. Hacer esto a cualquier escala requiere muchos recursos.

Esto podría haberse prevenido

Beaumont publicó su teoría en diciembre, dos meses antes del aviso del lunes de Notepad++. Combinando los detalles proporcionados por la plataforma, queda claro que la hipótesis era acertada. El investigador también advirtió que los motores de búsqueda están tan saturados de anuncios que promocionan versiones troyanizadas de Notepad++ que muchos usuarios las ejecutan sin darse cuenta en sus redes. Una proliferación de extensiones maliciosas de Notepad++ solo agrava el riesgo.

Aconsejó a todos los usuarios asegurarse de usar la versión oficial 8.8.8 o superior, instalada manualmente desde notepad-plus-plus.org. Desde que publicó este consejo, los desarrolladores de Notepad++ han instado a todos los usuarios a asegurarse de usar la versión 8.9.1 o superior.