Analyse de l’attaque de la chaîne d’approvisionnement de Notepad++

 (securelist.com)
2 points par GN⁺ 2026-02-05 | 1 commentaires | Partager sur WhatsApp
  • Une attaque de la chaîne d’approvisionnement a compromis l’infrastructure de mise à jour de Notepad++ et diffusé des mises à jour malveillantes de la mi-2025 à octobre
  • Les attaquants ont exploité Cobalt Strike Beacon et un downloader Metasploit pour opérer trois chaînes d’infection distinctes
  • Les cibles identifiées incluent des utilisateurs particuliers au Vietnam, au Salvador et en Australie, des organismes publics philippins, une institution financière au Salvador et une entreprise vietnamienne de services IT
  • Les méthodes d’attaque ont évolué de diverses façons, notamment via l’abus de l’installateur NSIS, l’exploitation d’une vulnérabilité de ProShow, l’exécution de scripts Lua et le DLL sideloading
  • Kaspersky a détecté cette campagne avec Kaspersky Next EDR Expert et cite comme principaux indicateurs de détection les communications avec temp.sh, les traces d’exécution de commandes et les entrées d’exécution automatique dans le registre

Vue d’ensemble de l’incident

  • Le 2 février 2026, l’équipe de développement de Notepad++ a annoncé que le serveur de mise à jour avait été compromis au niveau du fournisseur d’hébergement
    • La période de compromission s’étendait de juin à septembre 2025, et l’accès aux services internes a perduré jusqu’en décembre
  • Kaspersky a confirmé qu’entre juillet et octobre 2025, les attaquants ont poursuivi leur campagne en remplaçant en continu les adresses des serveurs C2, les downloaders et les payloads
  • Les victimes se limitaient à un petit nombre de systèmes ciblés, avec un peu plus de 10 ordinateurs infectés au total selon l’analyse

Chaîne d’infection #1 (fin juillet à début août 2025)

  • Fichier de mise à jour malveillant : http://45.76.155[.]202/update/update.exe
    • SHA1 : 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
  • Le processus légitime GUP.exe est exécuté et collecte des informations système avant de les envoyer vers temp.sh
    • Les résultats des commandes whoami et tasklist sont transmis via curl
  • Ensuite, plusieurs fichiers sont déposés dans le dossier %appdata%\ProShow, puis ProShow.exe est lancé
    • Une vulnérabilité de ProShow datant des années 2010 est exploitée pour exécuter le downloader Metasploit contenu dans le fichier load
    • Le downloader récupère et exécute Cobalt Strike Beacon depuis https://45.77.31[.]210/users/admin
  • Début août, une variante exploitant le domaine cdncheck.it[.]com a été observée avec la même chaîne

Chaîne d’infection #2 (mi à fin septembre 2025)

  • update.exe distribué depuis la même URL (SHA1 : 573549869e84544e3ef253bdba79851dcde4963a)
    • Utilise le dossier %APPDATA%\Adobe\Scripts
    • Collecte des informations système détaillées via les commandes whoami, tasklist, systeminfo et netstat -ano
  • Fichiers déposés : alien.dll, lua5.1.dll, script.exe, alien.ini
    • Exécution du shellcode contenu dans alien.ini via l’interpréteur Lua
    • Le downloader Metasploit télécharge Cobalt Strike Beacon depuis cdncheck.it[.]com/users/admin
  • Fin septembre, une variante apparaît avec l’URL d’upload https://self-dns.it[.]com/list et le serveur C2 remplacé par safe-dns.it[.]com

Chaîne d’infection #3 (octobre 2025)

  • Nouveau serveur de mise à jour : http://45.32.144[.]255/update/update.exe
    • SHA1 : d7ffd7b588880cf61b603346a3557e7cce648c93
  • Des fichiers sont déposés dans le dossier %appdata%\Bluetooth\
    • BluetoothService.exe (légitime), log.dll (malveillant), BluetoothService (shellcode chiffré)
  • Via DLL sideloading, log.dll exécute le shellcode BluetoothService
    • Avec une structure proche de la porte dérobée Chrysalis ; l’analyse de Rapid7 a également relevé des cas où Cobalt Strike Beacon était déployé en parallèle

Réapparition de la chaîne #2 et changement d’URL (mi à fin octobre 2025)

  • Nouvelle URL : http://95.179.213[.]0/update/update.exe
    • Réutilisation des domaines self-dns.it[.]com et safe-dns.it[.]com
  • Fin octobre, des variantes apparaissent sous des noms de fichiers comme install.exe et AutoUpdater.exe
    • Aucune infection supplémentaire n’a été observée après novembre

Conclusion et recommandations de détection

  • Les attaquants ont pris le contrôle du serveur de mise à jour de Notepad++ pour tenter de pénétrer des organisations à haut risque
    • Ils ont modifié la chaîne d’infection presque chaque mois afin de maintenir un accès persistant
  • Recommandations de détection et de réponse
    • Vérifier les journaux de création de l’installateur NSIS (%localappdata%\Temp\ns.tmp)
    • Détecter les communications avec le domaine temp.sh et les requêtes dont le User-Agent contient une URL
    • Examiner les traces d’exécution des commandes whoami, tasklist, systeminfo, netstat -ano
    • Rechercher les domaines malveillants et les hachages de fichiers à partir de la liste d’IoC

Détection Kaspersky

  • Kaspersky Next EDR Expert a détecté les activités malveillantes
    • La règle lolc2_connection_activity_network détecte les communications avec temp.sh
    • Des règles comme system_owner_user_discovery et system_information_discovery_win détectent les commandes de reconnaissance locale
    • La règle temporary_folder_in_registry_autorun détecte les entrées d’exécution automatique dans le registre

Résumé des principaux IoC

Cet incident montre le raffinement des attaques de la chaîne d’approvisionnement et l’évolution des chaînes d’infection multi-étapes, tout en soulignant la nécessité de renforcer la vérification de l’intégrité des mises à jour chez les développeurs et les opérateurs d’infrastructures IT.

À lire aussi

1 commentaires

 
GN⁺ 2026-02-05
Avis sur Hacker News

  • Le cas où le programme de mise à jour WinGUp a été exploité par l’attaque est un exemple typique d’attaque de la chaîne d’approvisionnement
    Les attaquants obtiennent le droit d’exécuter du code sur des systèmes qui font confiance au canal de mise à jour
    Le fait que cela n’ait pas été détecté pendant six mois est particulièrement inquiétant
    Les organisations devraient envisager des déploiements progressifs et une surveillance du trafic réseau anormal, tandis que les particuliers devraient privilégier des gestionnaires de paquets avec vérification cryptographique

    • Sous Windows, l’absence d’un gestionnaire de paquets standardisé reste un problème
      Beaucoup de logiciels sont téléchargés depuis des sites web remplis de publicité et chacun se met à jour à sa manière
      Microsoft Store avait l’occasion de changer cela, mais a échoué à la fois dans sa conception et sa réputation
      WinGet est bien meilleur, mais reste encore un outil surtout orienté développeurs

  • J’utilise Notepad++ comme remplaçant du Bloc-notes par défaut
    Je n’ai jamais compris pourquoi la connexion réseau était activée par défaut
    La première chose que j’ai faite a été de la désactiver, et j’utilise depuis avec satisfaction la version 2020
    Si j’en ai besoin un jour, je ferai la mise à jour manuellement moi-même

  • Notepad++ était l’un de mes éditeurs préférés, mais après cette attaque, le service IT en a interdit l’usage
    Ils vérifient même sa présence lors des audits de sécurité

    • La confiance est complètement rompue
      La réponse sur le blog officiel a aussi été inquiétante, et il faudra sans doute beaucoup de temps pour rétablir la confiance
    • Je pense la même chose
      Les deux fonctions clés sont les onglets et le correcteur orthographique, mais le Bloc-notes de base les prend désormais aussi en charge
      Il y a bien un bouton CoPilot maintenant, mais on peut le désactiver dans les paramètres

  • C’est pour cela que j’exécute beaucoup d’outils dans un environnement sandbox
    Ainsi, les dégâts restent limités à ce répertoire
    Il n’y a aucune raison qu’un outil accède à mon cloud drive ou aux cookies de mon navigateur

    • MacOS suscite beaucoup de débats sur son UI, mais je pense qu’il est le plus avancé en matière de contrôle granulaire des permissions
      La communauté Linux résiste à cette approche, mais au final les applis sandboxées de style iOS représentent l’avenir
      Parce que les utilisateurs veulent contrôler le comportement des applications
      Si le monde FOSS ignore cela, il finira par être recentralisé autour des grands groupes tech
    • J’ai l’impression que toutes les applis devraient s’exécuter en sandbox par défaut
      Il faudrait les empêcher de sortir de leur racine, et n’autoriser les accès externes que de façon explicite
      Les demandes d’accès de MacOS sont nombreuses, mais il faudrait un contrôle des permissions encore plus fin
    • En sandbox, bloquer l’accès à Internet est aussi important
      Un éditeur de texte n’a pas besoin de connexion réseau et peut exfiltrer le texte en cours d’édition
      Un attaquant peut envoyer des informations système, téléverser des fichiers via des services comme temp.sh, puis communiquer avec un serveur C2
      Il existe par exemple du code où Cobalt Strike Beacon communique avec cdncheck.it[.]com
    • La question a été posée de savoir comment mettre en place une sandbox sous Windows

  • Cette attaque montre que développeurs et utilisateurs font de plus en plus confiance à du code qu’ils n’ont pas vérifié eux-mêmes
    Le même problème se répète avec les installations de paquets npm/pip, le code généré par l’IA et la tendance du « vibe coding »
    Notepad++ est presque un meilleur cas puisqu’il s’agit d’un binaire unique, alors que les environnements de développement modernes impliquent des centaines de dépendances et du code IA
    Le sandboxing est important, mais le vrai problème est l’écart entre ce que le code peut faire et ce qu’on s’attend à ce qu’il fasse
    Il faut des outils qui permettent de mieux comprendre le code en cours d’exécution

    • Mais d’après mon expérience, la confiance est au contraire en baisse
      Il y a 15 ans, personne ne s’inquiétait de la chaîne d’approvisionnement, et les utilisateurs Unix compilaient des tarballs sans vérification
    • Cela rappelle le classique de Ken Thompson, “Reflections on Trusting Trust”
      Le sandboxing aide, mais ce n’est pas une solution parfaite
      Des utilitaires comme Notepad++, qui ont le droit d’éditer des fichiers système, restent dangereux

  • Je me demande s’il existe un outil officiel pour détecter et nettoyer une infection

    • Une fois Windows infecté, la seule solution est de formater le disque puis réinstaller l’OS
      Un malware peut se cacher partout dans le système, et les alertes UAC ne suffisent pas à l’arrêter
    • Il est recommandé d’exécuter MS Defender en mode hors ligne

  • Si on est infecté maintenant, je me demande si Malwarebytes peut le détecter

    • Le billet de l’OP contient une liste d’indicateurs de compromission (IOC)
      L’analyse de Rapid7 contient la même chose
      Il est surprenant que ce lien ne figurait pas dans l’annonce d’origine
    • Mais Malwarebytes a récemment baissé en qualité et n’est plus aussi utile qu’avant

  • Je me demande comment la signature numérique de Notepad++ a été contournée
    J’ai essayé de le télécharger directement et la signature de code était valide

    • Selon l’annonce officielle, il y a eu une version distribuée sans certificat
    • Le programme de mise à jour exécutait simplement le nouveau fichier d’installation sans vérifier son certificat

  • On se retrouve maintenant dans une situation contradictoire où il faut mettre à jour souvent pour corriger les failles de sécurité, mais éviter les mises à jour pour se protéger des attaques de la chaîne d’approvisionnement
    Je ne sais pas comment trouver le bon équilibre

    • Autrefois, les mises à jour pouvaient aussi rendre les systèmes instables
      Les mises à jour récentes de Microsoft sont elles aussi jugées peu fiables, et de plus en plus de gens désactivent les mises à jour automatiques à cause de problèmes comme l’impossibilité de démarrer
    • Ce serait bien d’avoir un gestionnaire de paquets local qui applique les mises à jour après un certain délai, comme le paramètre cooldown de Dependabot
      Documentation associée : options GitHub Dependabot
    • Au fond, c’est un arbitrage entre vulnérabilités zero-day et attaques de la chaîne d’approvisionnement
      Les applis très connectées à Internet devraient être mises à jour souvent, tandis que pour des outils locaux simples, couper les mises à jour automatiques peut être acceptable
    • Cela dépend aussi du contexte d’usage
      Si l’application traite du contenu venant d’Internet, les mises à jour sont indispensables, mais si elle est strictement locale, il suffit de la mettre à jour au besoin
      La plupart des cas se situent quelque part entre les deux

  • À titre de référence, l’analyse de Rapid7 a été partagée