Se instó a los usuarios de Notepad++ a revisar sus sistemas después de que los servidores de la aplicación se vieran comprometidos durante seis meses, lo que podría permitir a los hackers distribuir actualizaciones maliciosas. El ataque, que comenzó en junio de 2025 y duró hasta diciembre de 2025, involucró un compromiso de la infraestructura de actualización de la aplicación, según una publicación en el sitio oficial notepad-plus-plus.org el lunes.

El desarrollador Don Ho declaró que los atacantes probablemente eran un grupo chino patrocinado por el estado. "Pido disculpas profundamente a todos los usuarios afectados por este secuestro", escribió Ho en la publicación. Los atacantes pudieron interceptar y redirigir el tráfico de actualizaciones destinado a notepad-plus-plus.org, informó Ars Technica.

El compromiso permitió a los actores maliciosos entregar versiones con puertas traseras del editor de texto a objetivos selectos. Los usuarios que, sin saberlo, descargaron estas actualizaciones pueden haber tenido sus sistemas comprometidos. El desarrollador instó a los usuarios a verificar la integridad de sus instalaciones de Notepad++.

El incidente destaca las crecientes preocupaciones sobre los ataques a la cadena de suministro de software y el potencial de los actores patrocinados por el estado para explotar las vulnerabilidades en las aplicaciones de uso generalizado.