Avis de violation de Notepad++

Résumé

Le 9 décembre, l'application d'édition de texte Notepad++ a signalé un incident au cours duquel une partie de son infrastructure de mise à jour logicielle avait été piratée pour diffuser un logiciel malveillant de porte dérobée sophistiqué à des cibles spécifiques. Rapid7 a publié une analyse supplémentaire sur l'une des charges utiles livrées et a attribué la campagne au groupe APT Lotus Blossom, sponsorisé par l'État chinois.

L'attaque semble très ciblée, car les rapports indiquent que seul un trafic spécifique entraîne la livraison de packages malveillants. Reportage de Kaspersky a ajouté que l'infrastructure des attaquants était constamment pivotée et adaptée pour attaquer des cibles spécifiques.

L'incident était une attaque de type « man-in-the-middle » contre l'infrastructure de mise à jour, et non contre le code de Notepad++ lui-même. L'attaque ayant compromis le processus de mise à jour, Beazley Security, par prudence, recommande aux utilisateurs concernés de supprimer les versions existantes de Notepad++ et d'installer des versions corrigées à partir de zéro dès que possible.

Systèmes et produits concernés

Patchs

Les correctifs de sécurité étaient disponibles au moment de la rédaction du rapport et sont disponibles via les canaux de mise à jour habituels. L'attaque ayant compromis le processus de mise à jour, Beazley Security, par prudence, recommande aux utilisateurs de supprimer les installations actuelles de Notepad++ et d'installer les versions corrigées à partir de zéro dès que possible.

Indicateurs de compromis (IOCs)

Les IOC ont été fournis par les deux Rapid7 et Kaspersky, bien que leur utilité puisse être limitée car l'acteur de la menace a été observé en train de déplacer presque toutes les infrastructures, des serveurs C2 aux familles de logiciels malveillants et aux hachages de charge utile.

Cela dit, nous en inclurons ici un résumé limité pour faciliter la chasse aux menaces.

Détails techniques

L'attaque elle-même avait une portée limitée ; un ancien fournisseur d'hébergement de Notepad++ a vu un serveur compromis en juin 2025, et les acteurs de la menace ont persisté à y accéder jusqu'en décembre 2025. À cette époque, l'acteur de la menace redirigeait de manière sélective des utilisateurs ciblés vers des packages de mise à jour malveillants et infectés par des chevaux de Troie. L'attaque était limitée à un point tel que l'analyse de Kaspersky indique qu'une douzaine de machines individuelles seulement ont été spécifiquement ciblées. Les modifications mentionnées dans les notes de mise à jour de Notepad++ indiquent que cette attaque de la chaîne dapprovisionnement intermédiaire était possible en raison de l'absence de vérification des signatures dans les programmes de mise à jour et sur les fichiers XML du serveur de mise à jour renvoyés au client.

Notepad++ a changé de fournisseur d'hébergement pour son infrastructure de mise à jour et a corrigé son processus de mise à jour afin d'inclure des contrôles de certificats de signature plus stricts.

Comment Beazley Security réagit

Beazley Security surveille les appareils périmétriques des clients via sa plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.

Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.

Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.

Sources

• ‍Notepad++ : version 8.8.9 : correction d'une vulnérabilité‍
• Notepad++ : piraté par des pirates informatiques parrainés par l'État‍
• Rapid7 : The Chrysalis Backdoor : une plongée en profondeur dans la boîte à outils de Lotus Blossom‍
• Securelist : Attaque de la chaîne dapprovisionnement Notepad++ : chaînes d'exécution inaperçues et nouveaux IOC