El popular editor txt de código abierto Notepad++ ha sido blanco de un sofisticado ataque a la cadena de suministro por parte de un presunto agente de amenazas patrocinado por el Estado.
Las investigaciones realizadas por el creador del software, un proveedor privado de respuesta a incidentes y el proveedor de seguridad Rapid7 han confirmado que el ataque abusa de la arquitectura de distribución de software, en lugar de explotar el software en sí.
El autor del proyecto utilizaba un proveedor de infraestructura de terceros para distribuir actualizaciones de software a los usuarios, que al parecer se ha interrumpido en el momento de escribir estas líneas.
El actor de la amenaza comprometió a este tercero y fue capaz de realizar un ataque AITM/Redirección que significaba que los usuarios descargaban una actualización maliciosa.
Una vez descargada, el componente de software malicioso lleva a cabo una serie de acciones maliciosas diseñadas para mantener un acceso persistente y no ser detectado por el software de seguridad.
Las siguientes acciones han sido identificadas durante la investigación realizada por Rapid7:
- Creación de archivos ejecutables maliciosos
- Carga lateral de DLL
- Ofuscación de código en tiempo real mediante páginas de código cifrado utilizadas habitualmente para evitar el análisis de malware
- Conexión a un canal de mando y control externo para continuar con la actividad maliciosa.
- Mecanismos de persistencia tradicionales que incluyen servicios maliciosos y claves de registro
La funcionalidad del malware una vez ejecutado en una máquina comprometida incluye acceso completo al shell inverso dentro del contexto del programa en ejecución, escritura y lectura de archivos arbitrarios en el disco, autoeliminación, y otros.
La ventana de acceso para el actor de la amenaza fue, según se informa, de junio de 2025 a diciembre de 2025.
Desde el ataque, el autor de Notepad++ ha cambiado de proveedor de alojamiento, ha iniciado un proceso de respuesta a incidentes y ha publicado actualizaciones de seguridad (v8.9.1) del software Notepad++.
Si los usuarios de su organización han utilizado el Bloc de notas durante la ventana de tiempo relevante, es prudente que se lleve a cabo una investigación y una evaluación del compromiso mediante telemetría EDR o análisis forense digital para identificar si se ha aplicado la actualización maliciosa.
Los IoCs de la investigación de Rapid7 están disponibles aquí: https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
Pueden utilizarse para realizar investigaciones.
Los sofisticados ataques de terceros de esta naturaleza son difíciles de mitigar, ya que no se requería ninguna interacción del usuario aparte de actualizar el software utilizando los canales oficiales.
Por lo tanto, es de vital importancia que en su organización se apliquen las medidas correctas de supervisión (EDR) y prevención (antivirus).
Si sospecha que este incidente puede haber afectado a su organización, póngase en contacto con el SOC de Integrity360 o con el Equipo de Respuesta a Incidentes de Integrity360 para obtener ayuda.