Navigation
Les derniers articles
Suivez en direct

Notepad++ piraté par un acteur étatique : Six mois d’espionnage silencieux

Illustration d'un ordinateur portable avec le logo Notepad++ en premier plan pour un article sur le piratage et l'espionnage informatique.
Des pirates liés à la Chine ont infiltré l’écosystème de Notepad++ durant six mois. En piégeant les mises à jour de l’éditeur de texte, ils ont espionné des cibles stratégiques.

TL;DR : L’essentiel

  • De juin au 2 décembre 2025, les attaquants ont compromis les serveurs d’hébergement officiels de Notepad++ pour rediriger sélectivement les mises à jour vers leurs infrastructures malveillantes.
  • L’infection de Notepad++ repose sur un faux installateur « update.exe » qui exploite un exécutable Bitdefender légitime pour charger une DLL malveillante et exécuter la charge utile.
  • Le malware Chrysalis, injecté via Notepad++, utilise le framework d’obfuscation Microsoft Warbird pour se dissimuler, exfiltrant des données et exécutant des commandes arbitraires à distance.
  • Ciblant principalement les secteurs gouvernementaux et télécoms en Asie-Pacifique et Amérique du Sud, cette campagne sophistiquée contre les utilisateurs de Notepad++ mêle outils sur mesure et frameworks commerciaux.

Une compromission silencieuse de l’écosystème logiciel a permis à un acteur étatique de transformer Notepad++, cet outil open-source populaire, en vecteur d’espionnage ciblé durant six mois. Plutôt que de s’attaquer au code source de l’application, les pirates ont visé l’infrastructure d’hébergement pour intercepter les requêtes de mise à jour légitimes.

L’infrastructure de Notepad++ détournée au niveau de l’hébergeur

L’attaque ne résulte pas d’une vulnérabilité directe dans le code de l’application Notepad++, mais d’une prise de contrôle des serveurs du fournisseur d’hébergement mutualisé. Selon les investigations techniques relayées par The Hacker News, les assaillants ont exploité cet accès privilégié pour intercepter le trafic généré par le processus de mise à jour « GUP.exe » de l’éditeur. Cette position stratégique leur a permis de rediriger spécifiquement certaines requêtes vers des adresses IP malveillantes, livrant une version altérée du logiciel uniquement aux cibles présentant un intérêt pour le groupe Lotus Blossom.

Ce mécanisme de redirection sélective a rendu la détection du piratage de Notepad++ particulièrement complexe. Les attaquants, disposant des identifiants des services internes, ont pu maintenir leur emprise sur le flux de distribution bien après la maintenance serveur initiale de septembre. Comme le précise Wired, cette intrusion a conduit à des incidents de sécurité majeurs où des opérateurs menaçants ont pris le contrôle total des systèmes à distance au sein de trois organisations ayant des intérêts en Asie de l’Est, contournant les vérifications de certificats insuffisantes des anciennes versions de Notepad++.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Chrysalis : Une sophistication technique dissimulée

La charge utile délivrée aux utilisateurs de Notepad++, un backdoor inédit nommé Chrysalis, illustre une montée en gamme des capacités techniques du groupe Lotus Blossom. L’implant utilise des techniques avancées de « DLL side-loading », abusant notamment d’un exécutable légitime, l’assistant de soumission Bitdefender renommé « BluetoothService.exe », pour charger le code malveillant. Les experts cités par Security Affairs soulignent l’utilisation du framework de protection de code non documenté Microsoft Warbird, ainsi que des appels système obscurs, démontrant une volonté claire d’échapper aux solutions de détection modernes tout en intégrant des outils standards comme Cobalt Strike.

Une persistance neutralisée par la migration

La réponse à cet incident critique a nécessité une refonte complète de l’architecture de distribution de Notepad++. Le maintien de l’accès pirate jusqu’au 2 décembre 2025 a forcé l’équipe de développement à migrer vers un nouveau fournisseur d’hébergement appliquant des protocoles de sécurité renforcés et une rotation complète des identifiants. Dans un communiqué officiel, le site de Notepad++ confirme que les vulnérabilités exploitées ont été corrigées et que les futures versions du logiciel, à partir de la 8.9.2, imposeront une vérification stricte de la signature XMLDSig pour prévenir toute nouvelle tentative de détournement de flux.

Notepad++ piraté par des hackers parrainés par un État | Notepad++

Suite à la divulgation de la faille de sécurité publiée dans l'annonce de la version 8.8.9, l'enquête s'est poursuivie en collaboration avec des experts externes et avec la pleine participation de mon (désormais ancien) fournisseur d'hébergement mutualisé.

Lire la suite sur notepad-plus-plus.org
Notepad++ piraté par des hackers parrainés par un État | Notepad++

et pour en savoir plus sur la correction :

Notepad++ v8.9.2 – Mise à jour de sécurité Double-Lock | Notepad++

« Le fichier XML renvoyé par le serveur de mise à jour est désormais signé (XMLDSig), et la vérification du certificat et de la signature sera obligatoire à partir de la prochaine version 8.9.2, attendue dans environ un mois. » Comme promis dans l'annonce « Notepad++ piraté par des hackers parrainés par un État », cette version renforce les points faibles du processus de mise à jour de Notepad++.

Lire la suite sur notepad-plus-plus.org
Notepad++ v8.9.2 - Mise à jour de sécurité Double-Lock | Notepad++

FAQ : Comprendre les mécanismes de l’attaque

Qu’est-ce qu’une DLL malveillante ?

Une DLL (Dynamic Link Library) est une « boîte à outils » de code partagée par plusieurs logiciels. Dans cette attaque, les pirates ont remplacé une DLL légitime par une version piégée. Lorsque Notepad++ l’appelle pour fonctionner, il active le virus à son insu, comme s’il ouvrait une porte à un cambrioleur déguisé en réparateur.

Qu’est-ce que le DLL side-loading ?

C’est une technique de piratage qui abuse de la confiance de Windows. Les attaquants déposent un fichier DLL piégé juste à côté d’une application légitime (ici, Bitdefender). Au lancement, l’application se trompe et charge le fichier pirate situé à proximité au lieu du fichier officiel système, permettant au virus de s’exécuter sous une couverture respectable.

À quoi sert un framework d’obfuscation ?

C’est une trousse à outils utilisée pour camoufler le code informatique du virus. L’obfuscation mélange et complexifie les instructions pour rendre le logiciel malveillant illisible aux yeux des analystes de sécurité et invisible pour la plupart des antivirus classiques.

Qu’appelle-t-on une « charge utile » ?

Aussi appelée « payload », c’est la partie active du virus qui réalise l’objectif final de l’attaque. Une fois le logiciel infiltré, la charge utile se déploie pour exécuter la mission réelle : voler des données, prendre le contrôle de la machine ou installer des espions.

Qu’est-ce qu’une backdoor ?

Une « porte dérobée » est un accès secret et permanent installé par les pirates sur l’ordinateur infecté. Elle leur permet de se reconnecter discrètement au système à tout moment pour espionner ou lancer de nouvelles commandes, contournant les systèmes d’authentification normaux.

Pourquoi la signature XMLDSig est-elle cruciale ?

XMLDSig (XML Digital Signature) est un sceau numérique inviolable. Sa « vérification stricte » garantit mathématiquement deux choses : que le fichier de mise à jour provient bien de l’éditeur officiel de Notepad++ et qu’il n’a pas été modifié d’un seul octet par un pirate en cours de route. Si le sceau est brisé, la mise à jour est rejetée.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.