Notepad++ a été victime d’une attaque qui a duré plusieurs mois, révélant une faille majeure dans sa chaîne de mise à jour. Une équipe de hackers bien liée à la Chine, connue sous le nom de Lotus Blossom, est derrière cette opération. Les utilisateurs ont reçu des mises à jour malveillantes, compromettant leur sécurité de manière sophistiquée.
L’éditeur de texte open source est une référence pour les pros de l’informatique. Le détournement des serveurs de mise à jour leur a permis de remplacer les fichiers légitimes par un cheval de Troie très discret. Cette campagne a duré de juin à décembre 2025 avant d’être stoppée.
Le groupe Lotus Blossom et l’attaque ciblée contre Notepad++
Le groupe de pirates chinois Lotus Blossom n’est pas n’importe qui dans le milieu du hacking sponsorisé par des États. Leur attaque contre Notepad++ a été découverte grâce aux analyses de Rapid7. Ils ont compromis l’hébergeur du logiciel afin de rediriger les demandes de mise à jour vers leurs serveurs.
Ce n’était pas un piratage classique. Seuls certains utilisateurs précis ont vu leur mise à jour modifiée! Une méthode qui nécessite une connaissance fine de l’infrastructure et une grosse préparation. Le malware injecté, baptisé Chrysalis, était techniquement complexe et jamais vu avant dans ce contexte.
Un malware sur mesure : Chrysalis et ses capacités avancées
Chrysalis est une vraie usine à gaz : elle collecte des infos système, contacte un serveur de commande externe et attend des instructions. Il s’agit d’un implant personnalisé capable d’exécuter des commandes, de manipuler des fichiers et même de se désinstaller tout seul. Pas piqué des hannetons !
Le serveur de contrôle principal était api.skycloudcenter.com. Actuellement hors-ligne, mais avant il orchestré tout en douce. Cette attaque mélange habilement du code propriétaire et des frameworks comme Metasploit et Cobalt Strike, amplifiant la menace.
Les failles exploitées et comment l’attaque a été stoppée
Le nerf de la guerre résidait dans un mécanisme de mise à jour insuffisamment sécurisé sur les anciennes versions de Notepad++. Pendant six mois, des mises à jour trafiquées ont été distribuées sans alerte. Le point faible ? La vérification des mises à jour qui laissait passer les modifications malicieuses.
Le correctif est arrivé en décembre 2025 avec la version 8.8.9. En parallèle, Notepad++ a changé d’hébergeur et a revu complètement ses accès. Résultat : la porte d’entrée utilisée par Lotus Blossom s’est finalement refermée.
Un hacking aux techniques sophistiquées et bien rodées
Les pirates ont utilisé des astuces comme le DLL side-loading, qui consiste à faire charger une bibliothèque malveillante par un exécutable légitime. C’est une technique qu’on voit souvent du côté des hackeurs chinois.
Une autre particularité a été l’utilisation d’un framework de protection de code interne de Microsoft, Warbird. Officiellement méconnu, ce dernier a permis au malware de rester silencieux et à l’abri des anti-virus classiques. La complexité grandissante montre bien que le groupe évolue sans cesse.
Ce que cette attaque signifie pour les utilisateurs et les entreprises
Les utilisateurs doivent impérativement mettre à jour leur version de Notepad++ par les canaux officiels. Faire une installation propre devient crucial, surtout dans les environnements pros où la sécurité informatique est sensible.
En entreprise, il faut aussi vérifier que les exécutables déployés à partir de juin à décembre 2025 n’ont pas été trafiqués. Le moindre doute justifie un audit approfondi, car avec ce type d’attaque, les menaces peuvent perdurer longtemps sans être détectées.
Les méthodes utilisées par Lotus Blossom indiquent que les États investissent dans des campagnes d’espionnage numérique de plus en plus fines, mêlant attaques personnalisées et outils open source. Cette affaire fait réfléchir sur la confiance accordée aux mises à jour des logiciels open source.
Source: thehackernews.com
- Le Super Bowl se prépare à faire face à une menace croissante : la cybersécurité à l’ère de l’IA - février 5, 2026
- Cinq évolutions clés dans l’agenda cybersécurité de l’administration Trump - février 5, 2026
- Le retour discret de BlackBerry dans la cybersécurité : le PDG lève le voile - février 5, 2026
