Notepad++

BlackCat diffuse des malwares via de faux sites Notepad++ optimisés pour les moteurs de recherche

Selon GBHackers Security, une campagne sophistiquée attribuée au groupe criminel BlackCat a été mise au jour par CNCERT et Microstep Online, visant des internautes via des sites factices de téléchargement Notepad++ optimisés pour les moteurs de recherche. La campagne s’appuie sur des faux sites Notepad++ mis en avant par des techniques de SEO poisoning afin de tromper les utilisateurs et les pousser à télécharger des paquets logiciels piégés. Une fois exécutés, ces paquets déploient des chevaux de Troie à porte dérobée destinés à l’exfiltration et au vol de données 🎯. L’opération est décrite comme coordonnée et sophistiquée, ciblant des utilisateurs « grand public » via la recherche en ligne. ...

Notepad++ 8.9 abandonne le certificat auto-signé et renforce la vérification des mises à jour

Source: Notepad++ (notepad-plus-plus.org) — Le 27 décembre 2025, le projet annonce Notepad++ 8.9, une version axée sur des améliorations de sécurité et des correctifs. 🔐 Signature de code: l’usage du certificat auto-signé est abandonné au profit d’un certificat légitime GlobalSign pour signer les binaires. Les utilisateurs ayant installé le certificat racine auto-signé précédemment sont fortement invités à le retirer. 📝 Journalisation sécurité des mises à jour: un journal d’erreurs de sécurité est désormais généré automatiquement durant la mise à jour. En cas d’échec lié à une signature ou à la vérification de certificat, le fichier «%LOCALAPPDATA%\Notepad++\log\securityError.log» permet d’identifier le problème et de le signaler au bug tracker de Notepad++. ...

Possible détournement du mécanisme de mise à jour de Notepad++ via GUP observé sur un nombre limité de victimes

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...