Détournement de la mise à jour de Notepad++ : les enseignements de la faille de sécurité de six mois sur la confiance dans les mises à jour

/Technologie/ Par

Notepad++ affirme que son trafic de mise à jour a été détourné pendant plusieurs mois en 2025. Des pirates ont intercepté et redirigé sélectivement certains utilisateurs vers une infrastructure malveillante. Selon BleepingComputer, la compromission a débuté en juin 2025 et s'est terminée le 2 décembre, lorsque l'hébergeur a détecté la faille et bloqué l'accès.

Cet incident nous rappelle utilement que le téléchargement via HTTPS ne garantit pas une sécurité totale. Les systèmes de mise à jour nécessitent une vérification robuste de bout en bout, car l'infrastructure à laquelle vous faites confiance peut être compromise.

Ce que les attaquants ont exploité

BleepingComputer décrit une faille dans les contrôles de vérification des mises à jour des anciennes versions de Notepad++, permettant aux attaquants de diffuser des manifestes de mise à jour falsifiés et de rediriger les téléchargements.

La campagne aurait été ciblée et sélective, ce qui correspond au profil d'un acteur privilégiant l'accès à des cibles spécifiques plutôt que la diffusion à grande échelle.

Le calendrier est important :

  • Compromis initial en juin 2025
  • Perturbation temporaire début septembre suite aux mises à jour du noyau/micrologiciel
  • Accès continu via des identifiants internes volés jusqu'au 2 décembre

Cette étape « les identifiants ont survécu à la correction » est un échec classique en matière de réponse aux incidents : corriger le serveur ne suffit pas si l’attaquant possède déjà les clés.

Qu'est-ce qui a changé dans Notepad++ après l'incident ?

BleepingComputer rapporte que Notepad++ a migré ses clients vers un nouvel hébergeur, a renouvelé ses identifiants et a amélioré sa vérification.

À partir de la version 8.8.9, WinGUP :

  • Vérifie les certificats et signatures des installateurs
  • Utilise un XML de mise à jour signé cryptographiquement

Le projet prévoit également d'imposer la vérification obligatoire de la signature des certificats dans la version 8.9.2.

Cette progression – contrôles optionnels → contrôles renforcés → contrôles obligatoires – correspond exactement à la manière dont la distribution de logiciels devrait se renforcer au fil du temps.

L'aspect logiciel malveillant : Chrysalis et l'attribution

BleepingComputer fait référence à une étude de Rapid7 attribuant une campagne similaire à un groupe APT chinois connu sous le nom de Lotus Blossom (également décrit sous d'autres alias) et à une porte dérobée personnalisée de Rapid7 nommée « Chrysalis ».

Lors d'attaques ciblées sur la chaîne d'approvisionnement, le logiciel malveillant est souvent personnalisé. C'est pourquoi la principale stratégie de défense n'est pas de « détecter ce logiciel malveillant précis », mais de « rendre difficile la diffusion de tout logiciel malveillant non autorisé via le programme de mise à jour ».

Ce que les organisations devraient faire différemment

Si vous gérez des logiciels en environnement d'entreprise, cet incident met en lumière quelques failles de sécurité :

  1. Évitez les mises à jour automatiques destinées aux consommateurssur les systèmes critiques lorsque cela est possible.
  2. Utilisez la distribution de logiciels gérée(packages signés dans les dépôts internes, Intune/SCCM, etc.).
  3. Épingler et vérifier les signaturespour les programmes d'installation et les mises à jour.
  4. Surveiller les « chemins de mise à jour »en tant qu'infrastructures critiques : DNS, politiques d'inspection TLS, comportement des proxys et chaînes d'exécution des points de terminaison.

Si vous êtes un utilisateur individuel, les étapes pratiques sont plus simples :

  • Mettez à jour Notepad++ vers une version plus récente depuis le site officiel.
  • Méfiez-vous des invites de mise à jour qui ne ressemblent pas à l'installateur normal.
  • Évitez les publicités « télécharger maintenant » dans les résultats de recherche qui imitent les pages officielles.

En résumé

Le détournement des mises à jour de Notepad++ pendant six mois n'était pas dû à un simple bug, mais à une faille de confiance. Si un attaquant peut modifier le manifeste ou si les contrôles de signature sont faibles, les « mises à jour » deviennent, de fait, des exécutions de code à distance. La solution ? Une vérification de bout en bout inviolable, même si le fournisseur d'hébergement est compromis.

Sources

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.
The timeline matters:
Initial compromise in June 2025
Temporary disruption in early September after kernel/firmware updates
Continued access via stolen internal credentials until December 2
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.
What Notepad++ changed after the incident
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.
Starting with version 8.8.9, WinGUP:
Verifies installer certificates and signatures
Uses cryptographically signed update XML
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.
The malware angle: Chrysalis and attribution
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”
What organizations should do differently
If you manage software in an enterprise environment, this incident points to a few defensive defaults:
Avoid consumer auto-updaters
on critical systems where possible.
Use managed software distribution
(signed packages in internal repos, Intune/SCCM, etc.).
Pin and verify signatures
for installers and updates.
Monitor “update paths”
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.
If you’re an individual user, the practical steps are simpler:
Update to a current Notepad++ version from the official site
Be suspicious of update prompts that don’t look like the normal installer
Avoid “download now” ads in search results that mimic official pages
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
r Français