Il a été récemment confirmé ce que beaucoup craignaient: un éditeur de texte très populaire parmi les développeurs et les utilisateurs avancés a été utilisé comme vecteur pour introduire des logiciels malveillants dans les machines cibles. Le coupable n'était pas une vulnérabilité de Notepad + + lui-même, mais une intrusion au niveau du fournisseur hébergeant ses mises à jour, qui a permis à un acteur lié à la Chine de rediriger le trafic sélectif et de fournir une mise à jour manipulée à certains utilisateurs.
La société de réponse aux incidents Rapid7 a publié une analyse détaillée dans laquelle elle documente comment l'agresseur a profité de cette occasion pour livrer une porte arrière jusqu'alors inconnue, baptisée comme Chrysalides. Le rapport rassemble des données techniques sur l'échantillon, sa chaîne de mise en œuvre et les techniques utilisées pour l'exécuter et pour persister dans des systèmes compromis. Vous pouvez lire le rapport complet de Rapid7 ici: Rapid7 - TR: Chrysalis backdoor.
Selon l'enquête, la séquence observée a commencé avec l'exécution légitime de Notepad + + et sa mise à jour (GUP.exe). Puis un installateur appelé mise à jour. exe a été téléchargé et libéré d'une IP contrôlée par les attaquants. Cet installateur est un paquet NSIS qui comprend plusieurs composants: un exécutable réputé qui sert à effectuer DLL ide-loading, une DLL malveillante en charge du déchiffrement et de l'exécution shellcode, et lui-même charge utile deuscado, Chrysalis.
La technique de chargement de DLL ide n'est pas nouvelle et a souvent été utilisée par des groupes soutenus par l'État. C'est de profiter de la façon dont une application légitime charge des bibliothèques dynamiques pour forcer la charge d'une DLL malveillante avec le même nom qu'une dépendance attendue. Rapid7 souligne que, dans ce cas, les binaires légitimes des fournisseurs de sécurité ont été réutilisés dans le cadre de la tromperie, une tactique qui est également apparue dans les campagnes précédemment documentées par Broadcom / Symantec contre le même acteur connu par plusieurs pseudonymes, dont Lotus Blossom ou Billbug.
Chrysalis, pour sa part, est un implant sophistiqué: il recueille des informations système et contacte un serveur de commande et de contrôle (C2) pour des instructions supplémentaires. Bien que le C2 documenté dans l'analyse ne réponde plus, le code backdoor révèle des capacités pour ouvrir un shell interactif, créer des processus, gérer des fichiers, télécharger et télécharger des données, et même désinstaller. Rapid7 se trouve également dans les composants de paquet conçus pour charger une charge utile Cobalt Strike en utilisant un chargeur personnalisé qui intègre l'API de bloc Metasploit bien connue, dont le dépôt est accessible au public: Métasploit - bloc _ api.asp.
Une autre constatation pertinente est l'utilisation de techniques d'utilisation et de protection non documentées, telles que l'utilisation abusive d'un outil Microsoft interne appelé Warbird pour l'exécution de shellcode en mode noyau, adapté d'un test de concept publié par des chercheurs allemands. Le travail de Cirosec décrivant cet abus se trouve ici: Cirosec - Abusing Microsoft Warbird, et une analyse supplémentaire de Warbird apparaît dans cet article technique: Websec - Microsoft Warbird plongée profonde.
L'attribution proposée par Rapid7 lie cet ensemble d'outils et de tactiques à l'acteur connu sous le nom de Lotus Blossom, basé sur des similitudes avec les campagnes précédentes : la réutilisation des exécutables légitimes pour le chargement latéral des DL, le modèle des charges utiles personnalisées ainsi que les cadres commerciaux tels que Cobalt Strike, et l'adoption rapide des techniques publiques par l'agresseur. Broadcom / Symantec avait déjà documenté les activités de cet acteur en avril 2025, ce qui correspond à l'évolution actuelle.
Du point de vue de la communauté Notepad + +, maintenance Don Ho a noté que l'intrusion a eu lieu au niveau de l'hôte et a permis des redirections sélectives du trafic de mise à jour depuis juin 2025; l'organisation a corrigé la faiblesse et publié une version sécurisée en décembre 2025. L'équipe a migré vers un nouveau fournisseur d'hébergement et a fait pivoter les références, ce qui est la première étape logique après avoir découvert une intrusion dans la chaîne d'approvisionnement. Vous pouvez consulter la page de sortie du projet Notepad + pour consulter les versions et notes officielles : Bloc-notes + + - Rejets.
Il est important de souligner que, selon Rapid7, il n'existe aucune preuve que le mécanisme de mise à jour ait été utilisé de manière massive pour distribuer les logiciels malveillants à l'ensemble de la base d'utilisateurs; l'acteur a effectué des redirections sélectives et la confirmation technique de l'infection est limitée à des systèmes spécifiques où des exécutions anormales ont été observées. Pourtant, une campagne destinée à des utilisateurs spécifiques d'une application aussi répandue illustre le risque d'attaques de la chaîne d'approvisionnement, où la confiance dans l'intégrité des mises à jour peut devenir un vecteur d'engagement.
Les nouvelles ont généré une couverture dans des médias spécialisés qui ont suivi les détails techniques et l'impact sur les utilisateurs: entre autres, BleepingComputer a publié un résumé accessible de ce qui s'est passé et des recommandations pour les personnes touchées. Vous pouvez en savoir plus sur: BleepingComputer - Notepad + utilisateurs ciblés.
Quelles leçons pratiques cet incident laisse-t-il? Premièrement, l'importance de vérifier l'authenticité des mises à jour et de préférer de solides mécanismes de signature et de validation cryptographiques. Deuxièmement, l'urgence d'assurer non seulement le logiciel, mais l'ensemble de la chaîne de distribution : les fournisseurs d'hébergement, les dépôts et les processus de publication doivent être traités comme faisant partie du périmètre de sécurité. Troisièmement, les agresseurs continuent de mélanger leurs propres outils avec des cadres commerciaux connus et des recherches publiques, ce qui accélère leur capacité à échapper aux détections conventionnelles.
Si vous êtes un utilisateur Notepad + + ou toute application critique, il est approprié de vérifier que vous êtes dans la version la plus récente publiée après atténuation, réinstaller à partir de sources officielles et, si possible, activer la validation des signatures ou vérifier les montants offerts par les développeurs. Pour les équipes ministérielles, la recommandation est d'examiner les dossiers, de rechercher des signes d'exécutables inattendus (comme les mises à jour téléchargées à partir de PI étrangers) et, si nécessaire, de reconstruire les systèmes compromis à partir d'images propres.
Cet épisode met en évidence une réalité inquiétante : protéger les logiciels populaires nécessite de regarder au-delà du code et d'assurer chaque lien dans la chaîne de distribution. Alors que les groupes de ressources continuent de sophisticer leur arsenal, la meilleure défense est une combinaison de contrôles techniques, de processus rigoureux et de surveillance constante.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...