Notepad++ refuerza su Update: la versión 8.9.2 blinda el auto-updater tras el secuestro del servicio
Notepad++ Update 8.9.2 proceso de actualización inexplotable es el mensaje central del nuevo release del editor: el proyecto ha desplegado la versión 8.9.2 incorporando verificación del XML firmado que devuelve su dominio oficial y reforzando la validación criptográfica del instalador firmado, un doble control diseñado para reducir drásticamente el riesgo de manipulación del canal de actualizaciones.
El cambio llega después de que el autor del proyecto explicara que el servicio de Update fue comprometido en un incidente selectivo, en el que parte del tráfico de actualización habría sido redirigido a infraestructura controlada por atacantes para distribuir malware camuflado como Update legítimo. Investigaciones citadas por medios de referencia en ciberseguridad atribuyeron la campaña a un actor de espionaje vinculado a China conocido como Lotus Blossom.
Notepad++ Update 8.9.2 proceso de actualización inexplotable: “Double-Lock” con XML e instalador firmados
La novedad técnica más relevante de Notepad++ Update 8.9.2 proceso de actualización inexplotable es la verificación del XML firmado que se utiliza como canal de “instrucciones” durante el Update. Según el anuncio oficial, al combinarse con la verificación del instalador firmado (introducida previamente en la versión 8.8.9), el Update valida tanto el contenido de control (qué descargar y desde dónde) como el payload (el binario/instalador que se ejecuta), reduciendo la superficie para ataques de hijacking del flujo de actualización.
Notepad++ ya había publicado versiones “hardened” en diciembre de 2025 y posteriormente eliminó el uso de un certificado self-signed, anticipando que el siguiente paso sería forzar verificación de certificados y firmas. Con la 8.9.2, el proyecto formaliza ese endurecimiento en el proceso de Update.
Endurecimiento adicional en WinGUp: menos dependencias y menos opciones SSL inseguras
Además del doble bloqueo del Update principal, el autor señaló hardening específico del auto-updater WinGUp. Entre los cambios mencionados: retirada de la dependencia libcurl.dll para “eliminar el riesgo de DLL side-loading”, restricción de la ejecución de la gestión de plugins a programas firmados con el mismo certificado que WinGUp, y eliminación de dos opciones de cURL SSL descritas como no seguras: CURLSSLOPT_ALLOW_BEAST y CURLSSLOPT_NO_REVOKE.
Opciones de despliegue: desactivar el auto-updater en entornos gestionados
Para organizaciones que prefieran controlar el ciclo de Update por políticas internas, el proyecto recuerda que el auto-updater puede excluirse durante la instalación UI o mediante despliegue MSI con el parámetro correspondiente. En el propio anuncio se incluye el comando: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1.
Actualizar a la última versión se perfila como una medida lógica para reducir exposición ante campañas que intenten abusar del Update como vector de distribución. En cualquier caso, el propio posicionamiento de Notepad++ Update 8.9.2 proceso de actualización inexplotable funciona también como declaración de intenciones: elevar la seguridad del canal de actualización para que el coste de ataque se dispare y el “supply chain” deje de ser una ruta cómoda para malware.
Fuentes: anuncio oficial de Notepad++ 8.9.2 en notepad-plus-plus.org y cobertura del incidente y su atribución publicada por The Register.
