Notepad++ compromis par des hackers soutenus par un État

 (notepad-plus-plus.org)
2 points par GN⁺ 2026-02-03 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Un incident de sécurité a redirigé le trafic de mise à jour du site officiel de Notepad++ vers des serveurs d’attaquants
  • L’attaque a été menée via une compromission au niveau de l’infrastructure de l’hébergeur, et non par une faille dans le code de Notepad++ lui-même
  • L’attaque a duré de juin 2025 au 2 décembre, et plusieurs chercheurs en sécurité l’attribuent à un groupe de hackers soutenu par le gouvernement chinois
  • Les attaquants ont distribué des mises à jour malveillantes en visant d’anciennes versions de Notepad++ dont la procédure de vérification des mises à jour était insuffisante
  • La sécurité a depuis été renforcée via la migration du site, le durcissement de la vérification des certificats et des signatures, ainsi que l’introduction de signatures XML

Aperçu de l’incident

  • Après l’avis de sécurité (annonce de la v8.8.9), une enquête a été menée en coopération avec des experts externes et l’ancien hébergeur
  • L’analyse a montré que les attaquants avaient réalisé une compromission au niveau de l’infrastructure leur permettant d’intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org
  • La compromission s’est produite sur les serveurs de l’hébergeur, et non dans le code de Notepad++
  • Seul le trafic de certains utilisateurs était redirigé de manière sélective vers des serveurs contrôlés par les attaquants afin de fournir un manifeste de mise à jour malveillant

Calendrier de l’attaque et auteurs présumés

  • L’attaque a commencé en juin 2025
  • Plusieurs chercheurs indépendants en sécurité l’attribuent à un groupe de hackers soutenu par le gouvernement chinois
  • L’attaque se distingue par son caractère très limité et hautement sélectif

Résultats de l’enquête de l’hébergeur

  • L’hébergeur a confirmé que les serveurs étaient compromis jusqu’au 2 septembre 2025
    • Des mises à jour du noyau et du firmware ont été appliquées à cette date, après quoi des schémas similaires ont disparu des logs
  • Les attaquants ont conservé des identifiants de services internes jusqu’au 2 décembre, leur permettant de rediriger une partie du trafic
  • L’analyse des logs indique que les autres clients n’étaient pas visés et que seul le domaine Notepad++ était ciblé
  • Après le 2 décembre :
    • les correctifs de vulnérabilités et la rotation des identifiants ont été finalisés
    • aucun signe de compromission similaire n’a été trouvé sur d’autres serveurs
  • Il a été recommandé aux clients de changer leurs mots de passe SSH, FTP/SFTP et MySQL, et de vérifier leurs comptes administrateur WordPress

Résumé (TL;DR)

  • Le serveur d’hébergement mutualisé était compromis jusqu’au 2 septembre 2025, puis les attaquants ont conservé des identifiants internes jusqu’au 2 décembre
  • Les attaquants ont exploité les faiblesses de vérification des mises à jour de Notepad++ pour distribuer des mises à jour malveillantes
  • Toutes les mesures de renforcement de sécurité ont été finalisées après le 2 décembre, bloquant toute attaque supplémentaire

Réponse et renforcement de la sécurité

  • Le site web de Notepad++ a été migré vers un nouvel hébergeur offrant un niveau de sécurité plus élevé
  • L’outil de mise à jour interne de Notepad++, WinGup, à partir de la v8.8.9 :
    • ajoute la vérification du certificat et de la signature des fichiers d’installation téléchargés
    • applique une signature XMLDSig aux réponses XML du serveur de mise à jour
    • à partir de la v8.9.2, la vérification des certificats et signatures sera obligatoire
  • Il est recommandé aux utilisateurs d’installer manuellement la version v8.9.1

Informations complémentaires et limites de l’enquête

  • Aucun indicateur de compromission (Indicator of Compromise, IoC) n’a été obtenu
    • Environ 400 Go de logs serveur ont été analysés, mais aucun IoC concret tel que hash binaire, domaine ou IP n’a été identifié
    • Une demande d’IoC a également été adressée à l’hébergeur, sans réponse exploitable
  • Ivan Feigl de Rapid7 a partagé les résultats d’une enquête distincte et dispose d’IoC plus précis

Conclusion

  • L’attaque a pris la forme d’une manipulation ciblée des mises à jour via la compromission de l’infrastructure d’hébergement
  • Le problème est considéré comme résolu grâce au renforcement de la sécurité et à la migration des serveurs
  • Notepad++ prévoit de renforcer davantage son système de vérification des mises à jour pour prévenir des attaques similaires

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.