Analyse de l’attaque de la chaîne d’approvisionnement de Notepad++

 (securelist.com)
2 points par GN⁺ 2026-02-05 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Une attaque de la chaîne d’approvisionnement a compromis l’infrastructure de mise à jour de Notepad++ et diffusé des mises à jour malveillantes de la mi-2025 à octobre
  • Les attaquants ont exploité Cobalt Strike Beacon et un downloader Metasploit pour opérer trois chaînes d’infection distinctes
  • Les cibles identifiées incluent des utilisateurs particuliers au Vietnam, au Salvador et en Australie, des organismes publics philippins, une institution financière au Salvador et une entreprise vietnamienne de services IT
  • Les méthodes d’attaque ont évolué de diverses façons, notamment via l’abus de l’installateur NSIS, l’exploitation d’une vulnérabilité de ProShow, l’exécution de scripts Lua et le DLL sideloading
  • Kaspersky a détecté cette campagne avec Kaspersky Next EDR Expert et cite comme principaux indicateurs de détection les communications avec temp.sh, les traces d’exécution de commandes et les entrées d’exécution automatique dans le registre

Vue d’ensemble de l’incident

  • Le 2 février 2026, l’équipe de développement de Notepad++ a annoncé que le serveur de mise à jour avait été compromis au niveau du fournisseur d’hébergement
    • La période de compromission s’étendait de juin à septembre 2025, et l’accès aux services internes a perduré jusqu’en décembre
  • Kaspersky a confirmé qu’entre juillet et octobre 2025, les attaquants ont poursuivi leur campagne en remplaçant en continu les adresses des serveurs C2, les downloaders et les payloads
  • Les victimes se limitaient à un petit nombre de systèmes ciblés, avec un peu plus de 10 ordinateurs infectés au total selon l’analyse

Chaîne d’infection #1 (fin juillet à début août 2025)

  • Fichier de mise à jour malveillant : http://45.76.155[.]202/update/update.exe
    • SHA1 : 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
  • Le processus légitime GUP.exe est exécuté et collecte des informations système avant de les envoyer vers temp.sh
    • Les résultats des commandes whoami et tasklist sont transmis via curl
  • Ensuite, plusieurs fichiers sont déposés dans le dossier %appdata%\ProShow, puis ProShow.exe est lancé
    • Une vulnérabilité de ProShow datant des années 2010 est exploitée pour exécuter le downloader Metasploit contenu dans le fichier load
    • Le downloader récupère et exécute Cobalt Strike Beacon depuis https://45.77.31[.]210/users/admin
  • Début août, une variante exploitant le domaine cdncheck.it[.]com a été observée avec la même chaîne

Chaîne d’infection #2 (mi à fin septembre 2025)

  • update.exe distribué depuis la même URL (SHA1 : 573549869e84544e3ef253bdba79851dcde4963a)
    • Utilise le dossier %APPDATA%\Adobe\Scripts
    • Collecte des informations système détaillées via les commandes whoami, tasklist, systeminfo et netstat -ano
  • Fichiers déposés : alien.dll, lua5.1.dll, script.exe, alien.ini
    • Exécution du shellcode contenu dans alien.ini via l’interpréteur Lua
    • Le downloader Metasploit télécharge Cobalt Strike Beacon depuis cdncheck.it[.]com/users/admin
  • Fin septembre, une variante apparaît avec l’URL d’upload https://self-dns.it[.]com/list et le serveur C2 remplacé par safe-dns.it[.]com

Chaîne d’infection #3 (octobre 2025)

  • Nouveau serveur de mise à jour : http://45.32.144[.]255/update/update.exe
    • SHA1 : d7ffd7b588880cf61b603346a3557e7cce648c93
  • Des fichiers sont déposés dans le dossier %appdata%\Bluetooth\
    • BluetoothService.exe (légitime), log.dll (malveillant), BluetoothService (shellcode chiffré)
  • Via DLL sideloading, log.dll exécute le shellcode BluetoothService
    • Avec une structure proche de la porte dérobée Chrysalis ; l’analyse de Rapid7 a également relevé des cas où Cobalt Strike Beacon était déployé en parallèle

Réapparition de la chaîne #2 et changement d’URL (mi à fin octobre 2025)

  • Nouvelle URL : http://95.179.213[.]0/update/update.exe
    • Réutilisation des domaines self-dns.it[.]com et safe-dns.it[.]com
  • Fin octobre, des variantes apparaissent sous des noms de fichiers comme install.exe et AutoUpdater.exe
    • Aucune infection supplémentaire n’a été observée après novembre

Conclusion et recommandations de détection

  • Les attaquants ont pris le contrôle du serveur de mise à jour de Notepad++ pour tenter de pénétrer des organisations à haut risque
    • Ils ont modifié la chaîne d’infection presque chaque mois afin de maintenir un accès persistant
  • Recommandations de détection et de réponse
    • Vérifier les journaux de création de l’installateur NSIS (%localappdata%\Temp\ns.tmp)
    • Détecter les communications avec le domaine temp.sh et les requêtes dont le User-Agent contient une URL
    • Examiner les traces d’exécution des commandes whoami, tasklist, systeminfo, netstat -ano
    • Rechercher les domaines malveillants et les hachages de fichiers à partir de la liste d’IoC

Détection Kaspersky

  • Kaspersky Next EDR Expert a détecté les activités malveillantes
    • La règle lolc2_connection_activity_network détecte les communications avec temp.sh
    • Des règles comme system_owner_user_discovery et system_information_discovery_win détectent les commandes de reconnaissance locale
    • La règle temporary_folder_in_registry_autorun détecte les entrées d’exécution automatique dans le registre

Résumé des principaux IoC

Cet incident montre le raffinement des attaques de la chaîne d’approvisionnement et l’évolution des chaînes d’infection multi-étapes, tout en soulignant la nécessité de renforcer la vérification de l’intégrité des mises à jour chez les développeurs et les opérateurs d’infrastructures IT.

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.