La compromission du fournisseur d’hébergement a permis aux attaquants de diffuser des logiciels malveillants via des mises à jour logicielles corrompues pendant six mois.
Le célèbre éditeur de texte open source Notepad++ a été la cible d’une attaque sophistiquée contre la chaîne d’approvisionnement qui a permis à des pirates informatiques parrainés par l’État chinois de diffuser des logiciels malveillants via des mises à jour logicielles compromises, a révélé le responsable du projet dans un article de blog.
L’attaque, qui s’est déroulée de juin à décembre 2025, impliquait une compromission au niveau de l’infrastructure du fournisseur d’hébergement partagé de Notepad++, qui a permis aux acteurs malveillants d’intercepter et de rediriger sélectivement le trafic de mise à jour vers les serveurs sous leur contrôle, a déclaré l’auteur de Notepad++, Don Ho, dans le communiqué.
« Plusieurs chercheurs indépendants en sécurité ont évalué que l’auteur de la menace était probablement un groupe parrainé par l’État chinois, ce qui expliquerait le ciblage très sélectif observé au cours de la campagne », a écrit Ho.
L’incident met en évidence un angle mort critique en matière de sécurité d’entreprise. Les attaquants privilégient les points de distribution tels que les serveurs de mise à jour, car une insertion réussie donne accès à des milliers d’environnements à la fois, selon une analyse de Forrester également publiée dimanche.
Le compromis est particulièrement préoccupant car Notepad++ est largement utilisé par les développeurs, les analystes et les opérateurs informatiques, mais « ne nécessite pas de contrat ou de licence d’entreprise, et n’inclut pas de suivi de l’utilisation par défaut et ne peut donc pas être suivi dans un inventaire de logiciels d’entreprise », ont écrit les analystes de Forrester Jeff Pollard, Allie Mellen, Jess Burn, Janet Worthington et Tope Olufon dans leur blog.
Comment s’est déroulée l’attaque
La compromission s’est produite au niveau du fournisseur d’hébergement plutôt que par le biais de vulnérabilités dans le code Notepad++, a déclaré Ho dans la note. Les attaquants ont accédé au serveur d’hébergement partagé et ont redirigé le trafic du point de terminaison de mise à jour vers les serveurs contrôlés par les attaquants.
« Les acteurs malveillants ont spécifiquement recherché le domaine Notepad++ pour intercepter le trafic vers votre site Web, car ils pourraient connaître les vulnérabilités Notepad++ alors existantes liées à des contrôles de vérification des mises à jour insuffisants », a déclaré le fournisseur d’hébergement dans une déclaration partagée par Ho.
Le nom du fournisseur d’hébergement n’est cependant pas divulgué dans le billet de blog. Une requête détaillée sollicitant les commentaires de Ho reste sans réponse.
Le serveur a été initialement compromis jusqu’au 2 septembre 2025, date à laquelle la maintenance planifiée comprenait des mises à jour du noyau et du micrologiciel. Cependant, les attaquants ont conservé les identifiants volés des services internes jusqu’au 2 décembre 2025, permettant ainsi une interception continue du trafic, selon le communiqué du fournisseur. Le ciblage était très sélectif : le trafic de certains utilisateurs était redirigé alors que la plupart des mises à jour légitimes se déroulaient normalement, a déclaré Ho.
Rapid7 identifie les logiciels malveillants personnalisés
La société de cybersécurité Rapid7 a également publié une analyse technique détaillée corroborant les révélations de Ho et identifiant l’attaque comme faisant partie d’une campagne plus large déployant des logiciels malveillants jusqu’alors non documentés. L’enquête de Rapid7 a découvert une porte dérobée personnalisée que la société a surnommée « Chrysalis », aux côtés des frameworks Cobalt Strike et Metasploit.
« L’analyse médico-légale menée par l’équipe MDR suggère que le vecteur d’accès initial correspond à un abus révélé publiquement à l’infrastructure de distribution Notepad++ », a écrit Ivan Feigl, chercheur chez Rapid7. La porte dérobée Chrysalis prend en charge 16 capacités de commande distinctes allant de l’accès interactif au shell à l’auto-suppression complète. Une variante du chargeur exploitait Microsoft Warbird, un cadre de protection de code interne, pour exécuter du shellcode tout en se faisant passer pour un binaire légitime signé par Microsoft.
Rapid7 a attribué la campagne à Lotus Blossom, également connu sous le nom de Billbug, un groupe chinois APT actif depuis 2009, connu pour ses opérations d’espionnage ciblant les secteurs du gouvernement, des télécommunications et des infrastructures critiques en Asie du Sud-Est et en Amérique centrale. L’attribution est basée sur de fortes similitudes avec les recherches Symantec publiées précédemment, en particulier l’utilisation d’un exécutable Bitdefender renommé pour charger latéralement des DLL malveillantes.
Pourquoi la détection s’est avérée difficile
Ce malware sophistiqué a échappé à la détection pendant des mois, en grande partie parce qu’un utilitaire compromis se fond dans le comportement normal d’un développeur, ce qui le rend difficile à identifier. « La plupart des programmes EDR sont aveugles, de par leur conception, au comportement « attendu » des développeurs », écrivent les analystes de Forrester. « Un utilitaire compromis n’a pas besoin d’exploits, de LOLBins ou de logiciels malveillants exotiques. Il doit juste avoir l’air ennuyeux, comme quelque chose qu’un développeur ferait. »
Ho a noté que son équipe de réponse aux incidents n’était pas en mesure d’extraire des indicateurs concrets de compromission malgré l’analyse d’environ 400 Go de journaux de serveur. Dans une édition publiée dimanche, Ho a reconnu les conclusions plus détaillées de Rapid7. « Hier soir, j’ai reçu un e-mail d’Ivan Feigl (Rapid7) pour partager son excellente histoire d’enquête. Il semble que ce soit la même histoire, et évidemment, ils ont plus d’informations tangibles (y compris les IoC) que moi », a-t-il écrit.
Rapid7 a identifié l’infrastructure réseau, y compris les adresses IP en Malaisie et en Chine, ainsi que les URL de commande et de contrôle, notamment api.skycloudcenter.com et api.wiresguard.com.
Améliorations de la sécurité et implications plus larges
En réponse, Notepad++ a migré vers un nouveau fournisseur d’hébergement et amélioré WinGup (le composant de mise à jour) dans la version 8.8.9 pour vérifier à la fois le certificat et la signature des installateurs téléchargés, a déclaré Ho. La vérification des certificats et des signatures sera appliquée à partir de la version 8.9.2, prévue d’ici environ un mois.
« Je m’excuse profondément auprès de tous les utilisateurs concernés par ce piratage », a écrit Ho. « Je recommande de télécharger la v8.9.1 et d’exécuter le programme d’installation pour mettre à jour votre Notepad++ manuellement. »
Pour les équipes de sécurité des entreprises, l’incident souligne la nécessité de disposer d’inventaires logiciels complets comprenant des utilitaires largement utilisés, une vérification cryptographique de toutes les mises à jour et ce que Forrester a décrit comme un « passage de la confiance implicite à la vérification continue ». Les analystes de Forrester ont également averti que les agents d’IA pourraient amplifier des risques similaires. « Les mêmes angles morts de la chaîne d’approvisionnement qui permettent à un outil compromis de se fondre dans le bruit des développeurs permettront à un agent compromis d’établir sa persistance et d’élever ses privilèges à grande échelle », ont-ils écrit. Les organisations qui ne peuvent pas définir strictement ce qui doit être exécuté et communiqué « admettent structurellement cette classe d’attaques ».
