Il y a quelques semaines, Notepad + + officiels a annoncé une mise à jour de sécurité conçue pour fermer les portes qui ont utilisé des attaquants avancés pour manipuler le mécanisme de mise à jour du programme et distribuer des logiciels malveillants à des victimes spécifiques. La version 8.9.2 intègre une refonte du processus de mises à jour et des changements dans l'auto-actualisation pour rendre difficile pour des attaques similaires à l'avenir. Vous pouvez lire l'annonce officielle sur le site du projet Bloc-notes + + v8.9.2 et de consulter le débat public dans la collectivité communauté.notepad-plus-plus.org.
Le problème n'était pas simplement une défaillance locale : l'incident est né d'une intrusion au niveau de l'hôte qui a permis aux attaquants de rediriger certaines demandes de mise à jour vers des serveurs contrôlés par eux. Ce faisant, ils ont réussi à faire en sorte que certains utilisateurs reçoivent des installateurs manipulés qui comprenaient une porte arrière sans papiers conçue pour passer inaperçue. Des équipes de recherche tierces ont relié cette opération à un groupe ayant des liens avec la Chine et ont identifié la porte arrière sous le nom de Chrysalis; la communication publique du projet et l'analyse subséquente ont attribué l'incident à un acteur connu dans les enquêtes de cybermenace.
La réponse de Notepad + + ne se limitait pas à supprimer les paquets commis. Les développeurs ont introduit ce qu'ils décrivent comme un « double verrou » dans le flux de mise à jour: En plus de vérifier la signature de l'installateur téléchargé depuis GitHub, la signature XML qui retourne le serveur de mise à jour est maintenant également valide. Cette deuxième couche de vérification réduit la possibilité qu'une manipulation des routes réseau ou du fournisseur d'hébergement puisse servir des instructions malveillantes qui semblent légitimes.
En parallèle, le composant responsable des mises à jour automatiques - WinGup - a reçu un certain nombre de difficultés techniques. Parmi les mesures ont été supprimés les librairies et les options qui pourraient faciliter le fonctionnement dynamique de la charge des DLL ou des configurations TLS dangereuses; libcurl.dll a été supprimé pour éviter le risque de chargement latéral DLL, et les options cURL associées aux pratiques SSL / TLS dangereuses ont été supprimées. La mise en œuvre des opérations de gestion des plugins a également été limitée aux programmes qui sont signés avec le même certificat que WinGup, ce qui empêche les binaires non autorisés de profiter du mécanisme de plugin pour exécuter le code malveillant.
En plus des améliorations de l'auto-mise à jour, la version corrige une vulnérabilité à haute gravité (publiquement mentionnée avec l'identificateur indiqué par les développeurs) qui pourrait permettre l'exécution de code dans le contexte de l'application sous certaines conditions. Les développeurs expliquent que la racine du problème est une vulnérabilité de type "route de recherche non sûre" lorsque l'Explorateur Windows est lancé sans spécifier la route absolue vers l'exécutable; ce type de faiblesse est listé par la communauté de sécurité comme CWE-426 (Piste de recherche non sûre), et peut être utilisé si un attaquant a le contrôle sur le répertoire de travail du processus pour obtenir un exécutable malveillant chargé au lieu de celui légitime.
L'incident a été détecté en interne par les chefs de projet début décembre, bien que la manipulation du trafic de mise à jour ait commencé des mois plus tôt, selon la chronologie publiée par Notepad + +. Des chercheurs externes et des entreprises de sécurité ont analysé les échantillons et le comportement des logiciels malveillants déployés; des équipements tels que Rapid7 et Kaspersky ont inclus le cas dans leurs domaines de recherche sur les menaces de la chaîne d'approvisionnement, ce qui souligne l'importance d'examiner non seulement le code d'application, mais aussi les services et fournisseurs qui soutiennent leurs mises à jour. Vous pouvez consulter les ressources générales de recherche à Recherche rapide7 et sur le blog de l'analyse des menaces Kaspersky pour mieux comprendre ce genre de campagne.
Que devraient faire les utilisateurs maintenant? La recommandation fondamentale et la plus urgente est mise à jour de la version 8.9.2 et assurez-vous que les téléchargements proviennent du domaine officiel du projet. En outre, il est de bonne pratique de vérifier les signatures numériques des installateurs lorsque le développeur fournit ce mécanisme, et de méfier les installateurs obtenus à partir de miroirs non officiels ou de liens envoyés par des tiers inconnus. Notepad + + a publié les informations techniques sur les corrections et comment les itinéraires d'attaque ont été atténués dans son dépôt de sécurité dans Conseils de sécurité à GitHub.
Cet épisode souligne à nouveau que les chaînes d'approvisionnement logicielles sont un vecteur attrayant pour les acteurs motivés et des ressources, car permettre le contrôle de mise à jour offre un moyen efficace de compromiser les systèmes sans la nécessité d'exploiter chaque ordinateur individuellement. La leçon pour les administrateurs et les utilisateurs est double : renforcer les contrôles aux points centraux (fournisseurs, serveurs de mise à jour, signatures et certificats) et maintenir l'hygiène numérique, y compris les mises à jour vérifiées et l'utilisation des sources officielles.
Si vous êtes responsable de la maintenance des postes de travail ou des serveurs avec Notepad + +, prioriser l'installation de la mise à jour et revoir les procédures internes pour le téléchargement et la vérification des installateurs. Garder l'attention sur l'intégrité des mises à jour est maintenant aussi important que de tenir le logiciel à jour : les deux actions sont complétées pour réduire le risque qu'une cause apparente de sécurité devienne un incident réel.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...