Notepad++

Selon Unit 42 (Palo Alto Networks), entre juin et décembre 2025, l’infrastructure d’hébergement officielle de Notepad++ a été compromise par le groupe étatique Lotus Blossom, permettant un détournement du trafic vers le serveur d’update et une distribution sélective de mises à jour malveillantes. Les cibles principales se trouvaient en Asie du Sud-Est (gouvernement, télécoms, infrastructures critiques), avec une extension observée vers l’Amérique du Sud, les États-Unis et l’Europe sur des secteurs variés (cloud, énergie, finance, gouvernement, manufacturing, développement logiciel). Cette attaque de la chaîne d’approvisionnement s’appuie sur une capacité AitM pour profiler et filtrer dynamiquement les victimes prioritaires, notamment des administrateurs et développeurs. ...

Selon GBHackers Security, une campagne sophistiquée attribuée au groupe criminel BlackCat a été mise au jour par CNCERT et Microstep Online, visant des internautes via des sites factices de téléchargement Notepad++ optimisés pour les moteurs de recherche. La campagne s’appuie sur des faux sites Notepad++ mis en avant par des techniques de SEO poisoning afin de tromper les utilisateurs et les pousser à télécharger des paquets logiciels piégés. Une fois exécutés, ces paquets déploient des chevaux de Troie à porte dérobée destinés à l’exfiltration et au vol de données 🎯. L’opération est décrite comme coordonnée et sophistiquée, ciblant des utilisateurs « grand public » via la recherche en ligne. ...

Source: Notepad++ (notepad-plus-plus.org) — Le 27 décembre 2025, le projet annonce Notepad++ 8.9, une version axée sur des améliorations de sécurité et des correctifs. 🔐 Signature de code: l’usage du certificat auto-signé est abandonné au profit d’un certificat légitime GlobalSign pour signer les binaires. Les utilisateurs ayant installé le certificat racine auto-signé précédemment sont fortement invités à le retirer. 📝 Journalisation sécurité des mises à jour: un journal d’erreurs de sécurité est désormais généré automatiquement durant la mise à jour. En cas d’échec lié à une signature ou à la vérification de certificat, le fichier «%LOCALAPPDATA%\Notepad++\log\securityError.log» permet d’identifier le problème et de le signaler au bug tracker de Notepad++. ...

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...