Compromission du programme de mise à jour de Notepad++ : que s’est-il passé et que doivent faire les utilisateurs ?

Notepad++, un éditeur de texte largement utilisé sous Windows, a signalé pendant des mois que son infrastructure de mise à jour était compromise, permettant ainsi à des pirates de rediriger certains utilisateurs vers des mises à jour malveillantes. Selon Ars Technica, la faille de sécurité a débuté en juin 2025 et le contrôle n'a été pleinement rétabli qu'en décembre.

Il s'agit d'un schéma classique de chaîne d'approvisionnement : au lieu d'exploiter directement chaque victime, les attaquants ciblent le processus de mise à jour, de sorte que le logiciel lui-même devienne le vecteur de diffusion.

À quoi ressemblait l'attaque

Selon Ars, les attaquants ont obtenu un contrôle total de l'infrastructure, ce qui leur a permis d'intercepter et de rediriger le trafic de mise à jour destiné au domaine Notepad++. Au lieu de toucher tous les utilisateurs, la redirection était sélective et ciblait des utilisateurs spécifiques.

Cette sélectivité est un indice important. Elle suggère que les attaquants visaient soit un groupe de victimes spécifique, soit qu'ils tentaient d'éviter d'être détectés en limitant le nombre d'infections.

Pourquoi les personnes chargées des mises à jour sont une cible si précieuse

Les mécanismes de mise à jour automatique sont conçus pour faire trois choses dangereuses :

Récupérer le code depuis Internet
Écrivez-le sur le disque
Exécutez-le

C’est précisément ce que recherchent les logiciels malveillants. La seule chose qui sépare la « mise à jour » de l’« infection », c’est la vérification.

Si un programme de mise à jour :

N'utilise pas systématiquement un protocole TLS fort.
Ne vérifie pas correctement les signatures
Fait confiance à un fichier manifeste falsifiable

…alors intercepter ou rediriger le trafic peut suffire à échanger la charge utile.

Spécificités (et points faibles) du programme de mise à jour de Notepad++

Ars décrit un programme de mise à jour sur mesure (GUP / WinGUP) qui :

Signale sa version à une URL Notepad++
Récupère les instructions de mise à jour à partir d'un fichier XML
Télécharge un programme d'installation dans un répertoire temporaire et l'exécute.

Le point faible de nombreux systèmes réside dans l'étape du « manifeste ». Si ce dernier peut être remplacé ou modifié, le programme de mise à jour peut être configuré pour pointer vers n'importe quel emplacement de téléchargement.

Quelles versions les utilisateurs devraient-ils utiliser ?

L'article d'Ars indique que les développeurs ont exhorté les utilisateurs à s'assurer qu'ils utilisent la version 8.9.1 ou une version supérieure.

En règle générale, dans ce genre d'incidents :

Privilégiez l'installation manuelle depuis le site officiel.
Évitez les sites de téléchargement tiers et les résultats de recherche remplis de publicités.
Considérez comme suspectes les demandes de mise à jour inattendues.

Comment évaluer votre exposition

Il n’existe peut-être pas d’indicateurs parfaits de compromission pour une campagne ciblée, mais il est possible de réduire l’incertitude :

Veuillez confirmer votre version installéeet comparez-le aux versions actuelles.
Vérifiez la signature de l'installateurpour les fichiers binaires Notepad++ que vous possédez.
Consulter les journaux systèmepour les lancements de processus inhabituels aux alentours des heures de mise à jour (processus d'installation que vous ne reconnaissez pas, appels réseau vers des domaines inhabituels).
Numérisation avec EDR/AVqui peut détecter les portes dérobées connues signalées par les équipes d'intervention en cas d'incident.

Pour les organisations, il est également raisonnable de :

Empêcher les composants de mise à jour d'accéder à Internet
Utiliser un déploiement logiciel contrôlé (packaging MSI, dépôts internes)

Ce que cela révèle sur les dépendances open source

Notepad++ est gratuit, très utilisé et souvent sous-financé au regard de son importance. Ce décalage se traduit par une infrastructure fragile et des systèmes de mise à jour personnalisés qui n'ont pas été conçus pour faire face aux menaces d'envergure étatique.

La leçon principale n'est pas « n'utilisez pas de logiciels libres ». C'est que les projets open source largement utilisés ont besoin de :

cadres de mise à jour modernes
examens de sécurité
Financement des infrastructures et de la réponse aux incidents

En résumé

Si vous utilisez Notepad++, considérez que le canal de mise à jour constituait une surface d'attaque potentielle en 2025. Installez une version à jour, privilégiez les installations officielles/manuelles et considérez l'intégrité du programme de mise à jour (signatures et manifestes) comme la véritable limite de sécurité.

Sources

Document Title
Notepad++ updater compromise: what happened and what users should do	Compromission du programme de mise à jour de Notepad++ : que s’est-il passé et que doivent faire les utilisateurs ?

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars signale que l'infrastructure de mise à jour de Notepad++ a été compromise pendant des mois, redirigeant certains utilisateurs vers des mises à jour malveillantes. Voici comment fonctionnent les détournements de programmes de mise à jour, pourquoi les signatures sont importantes et des mesures pratiques pour évaluer votre niveau de risque.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Voir tous les articles de l'administrateur
Courts let US offshore wind construction resume: what the injunctions signal	Les tribunaux autorisent la reprise de la construction d'éoliennes offshore aux États-Unis : que signifient ces injonctions ?
Hair samples over a century show how regulations cut lead exposure	Des échantillons de cheveux prélevés sur une période d'un siècle montrent comment la réglementation a réduit l'exposition au plomb
Page Content
Notepad++ updater compromise: what happened and what users should do	Compromission du programme de mise à jour de Notepad++ : que s’est-il passé et que doivent faire les utilisateurs ?
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	Notepad++, un éditeur de texte largement utilisé sous Windows, a signalé pendant des mois que son infrastructure de mise à jour était compromise, permettant ainsi à des pirates de rediriger certains utilisateurs vers des mises à jour malveillantes. Selon Ars Technica, la faille de sécurité a débuté en juin 2025 et le contrôle n'a été pleinement rétabli qu'en décembre.
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	Il s'agit d'un schéma classique de chaîne d'approvisionnement : au lieu d'exploiter directement chaque victime, les attaquants ciblent le processus de mise à jour, de sorte que le logiciel lui-même devienne le vecteur de diffusion.
What the attack looked like
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	Selon Ars, les attaquants ont obtenu un contrôle total de l'infrastructure, ce qui leur a permis d'intercepter et de rediriger le trafic de mise à jour destiné au domaine Notepad++. Au lieu de toucher tous les utilisateurs, la redirection était sélective et ciblait des utilisateurs spécifiques.
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	Cette sélectivité est un indice important. Elle suggère que les attaquants visaient soit un groupe de victimes spécifique, soit qu'ils tentaient d'éviter d'être détectés en limitant le nombre d'infections.
Why updaters are such a high-value target	Pourquoi les personnes chargées des mises à jour sont une cible si précieuse
Auto-update mechanisms are designed to do three dangerous things:	Les mécanismes de mise à jour automatique sont conçus pour faire trois choses dangereuses :
Fetch code from the internet	Récupérer le code depuis Internet
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	C’est précisément ce que recherchent les logiciels malveillants. La seule chose qui sépare la « mise à jour » de l’« infection », c’est la vérification.
If an updater:	Si un programme de mise à jour :
Doesn’t use strong TLS consistently	N'utilise pas systématiquement un protocole TLS fort.
Doesn’t verify signatures correctly	Ne vérifie pas correctement les signatures
Trusts a tamperable manifest file	Fait confiance à un fichier manifeste falsifiable
…then intercepting or redirecting traffic can be enough to swap the payload.	…alors intercepter ou rediriger le trafic peut suffire à échanger la charge utile.
The Notepad++ updater specifics (and the weak points)	Spécificités (et points faibles) du programme de mise à jour de Notepad++
Ars describes a bespoke updater (GUP / WinGUP) that:	Ars décrit un programme de mise à jour sur mesure (GUP / WinGUP) qui :
Reports its version to a Notepad++ URL	Signale sa version à une URL Notepad++
Retrieves update instructions from an XML file	Récupère les instructions de mise à jour à partir d'un fichier XML
Downloads an installer to a temp directory and runs it	Télécharge un programme d'installation dans un répertoire temporaire et l'exécute.
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	Le point faible de nombreux systèmes réside dans l'étape du « manifeste ». Si ce dernier peut être remplacé ou modifié, le programme de mise à jour peut être configuré pour pointer vers n'importe quel emplacement de téléchargement.
What versions users should be on	Quelles versions les utilisateurs devraient-ils utiliser ?
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	L'article d'Ars indique que les développeurs ont exhorté les utilisateurs à s'assurer qu'ils utilisent la version 8.9.1 ou une version supérieure.
As a rule of thumb in incidents like this:	En règle générale, dans ce genre d'incidents :
Prefer manual installation from the official site	Privilégiez l'installation manuelle depuis le site officiel.
Avoid third-party “download mirrors” and ad-filled search results	Évitez les sites de téléchargement tiers et les résultats de recherche remplis de publicités.
Treat unexpectedly timed update prompts as suspicious	Considérez comme suspectes les demandes de mise à jour inattendues.
How to assess your exposure	Comment évaluer votre exposition
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	Il n’existe peut-être pas d’indicateurs parfaits de compromission pour une campagne ciblée, mais il est possible de réduire l’incertitude :
Confirm your installed version	Veuillez confirmer votre version installée
and compare it to current releases.	et comparez-le aux versions actuelles.
Verify the installer signature	Vérifiez la signature de l'installateur
for the Notepad++ binaries you have.	pour les fichiers binaires Notepad++ que vous possédez.
Review system logs	Consulter les journaux système
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	pour les lancements de processus inhabituels aux alentours des heures de mise à jour (processus d'installation que vous ne reconnaissez pas, appels réseau vers des domaines inhabituels).
Scan with EDR/AV
that can detect known backdoors reported by incident responders.	qui peut détecter les portes dérobées connues signalées par les équipes d'intervention en cas d'incident.
For organizations, it’s also reasonable to:	Pour les organisations, il est également raisonnable de :
Restrict updater components from reaching the internet	Empêcher les composants de mise à jour d'accéder à Internet
Use controlled software deployment (MSI packaging, internal repositories)	Utiliser un déploiement logiciel contrôlé (packaging MSI, dépôts internes)
What this says about open-source dependencies	Ce que cela révèle sur les dépendances open source
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	Notepad++ est gratuit, très utilisé et souvent sous-financé au regard de son importance. Ce décalage se traduit par une infrastructure fragile et des systèmes de mise à jour personnalisés qui n'ont pas été conçus pour faire face aux menaces d'envergure étatique.
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	La leçon principale n'est pas « n'utilisez pas de logiciels libres ». C'est que les projets open source largement utilisés ont besoin de :
Modern update frameworks	cadres de mise à jour modernes
Security reviews
Funding for infrastructure and incident response	Financement des infrastructures et de la réponse aux incidents
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Si vous utilisez Notepad++, considérez que le canal de mise à jour constituait une surface d'attaque potentielle en 2025. Installez une version à jour, privilégiez les installations officielles/manuelles et considérez l'intégrité du programme de mise à jour (signatures et manifestes) comme la véritable limite de sécurité.
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Voir tous les articles de l'administrateur
Courts let US offshore wind construction resume: what the injunctions signal	Les tribunaux autorisent la reprise de la construction d'éoliennes offshore aux États-Unis : que signifient ces injonctions ?
Hair samples over a century show how regulations cut lead exposure	Des échantillons de cheveux prélevés sur une période d'un siècle montrent comment la réglementation a réduit l'exposition au plomb
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars signale que l'infrastructure de mise à jour de Notepad++ a été compromise pendant des mois, redirigeant certains utilisateurs vers des mises à jour malveillantes. Voici comment fonctionnent les détournements de programmes de mise à jour, pourquoi les signatures sont importantes et des mesures pratiques pour évaluer votre niveau de risque.

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?	Il semblerait que le lien pointant vers cette page soit défectueux. Essayez peut-être une recherche ?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	En tant que partenaire Amazon, nous réalisons un bénéfice sur les achats éligibles, sans frais supplémentaires pour vous.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...