Le populaire éditeur de texte open source Notepad++ a révélé une attaque sophistiquée de chaîne d'approvisionnement qui a permis à des hackers présumés soutenus par l'État chinois de détourner son mécanisme de mise à jour et de distribuer des logiciels malveillants à des utilisateurs ciblés entre juin et décembre 2025. Cette révélation, détaillée dans un avis de sécurité publié cette semaine, a provoqué une onde de choc dans la communauté des développeurs, des millions de personnes dépendant de cet éditeur de code léger pour leurs tâches de programmation quotidiennes.
Selon la divulgation, les attaquants ont compromis l'infrastructure du fournisseur d'hébergement plutôt que le code source de Notepad++ lui-même, leur permettant d'intercepter et de rediriger le trafic de mise à jour destiné à notepad-plus-plus.org. L'avis a indiqué que le trafic de certains utilisateurs ciblés était sélectivement redirigé vers des serveurs contrôlés par les attaquants qui servaient des manifestes de mise à jour malveillants, entraînant le téléchargement de fichiers exécutables compromis sur les systèmes des victimes au lieu des mises à jour légitimes.
Le chercheur en sécurité Kevin Beaumont a été le premier à signaler une activité inhabituelle affectant les utilisateurs de Notepad++, notant que les attaques ciblaient spécifiquement les entreprises de télécommunications et de services financiers en Asie de l'Est. Beaumont a observé que les victimes étaient des organisations ayant des intérêts en Asie de l'Est et que l'activité semblait très ciblée, avec une activité de reconnaissance manuelle commencée il y a environ deux mois. Plusieurs chercheurs en sécurité indépendants ont évalué que l'acteur de la menace est probablement un groupe soutenu par l'État chinois, ce qui expliquerait le ciblage hautement sélectif observé pendant la campagne.
La chronologie de l'attaque révèle que les acteurs malveillants ont initialement obtenu l'accès au serveur d'hébergement partagé en juin 2025. Bien que le serveur ait subi une maintenance programmée avec des mises à jour du noyau et du firmware le 2 septembre qui ont coupé l'accès direct au serveur, les attaquants ont maintenu des identifiants volés aux services internes jusqu'au 2 décembre, leur permettant de continuer à rediriger le trafic de mise à jour vers des serveurs compromis. Toutes les mesures de remédiation et de renforcement de la sécurité ont été complétées par le fournisseur d'hébergement le 2 décembre 2025.
En réponse à cette violation, Notepad++ a migré vers un nouveau fournisseur d'hébergement avec des pratiques de sécurité nettement plus robustes et a publié la version 8.8.9 avec des améliorations de sécurité critiques. Le composant de mise à jour WinGUp vérifie désormais le certificat et la signature des installateurs téléchargés, et les manifestes de mise à jour XML sont signés numériquement via XMLDSig. À partir de la prochaine version 8.9.2, la vérification du certificat et de la signature sera obligatoire. Les utilisateurs sont fortement invités à mettre à jour immédiatement et à supprimer tous les certificats racine Notepad++ précédemment installés.
Commentaires