Don Ho, développeur de Notepad++, a confirmé que des pirates informatiques avaient détourné le mécanisme de mise à jour du logiciel pendant plusieurs mois en 2025. L’attaque s’est produite entre juin et décembre 2025, et Ho l’a attribuée à des pirates informatiques associés au gouvernement chinois. Il a cité les analyses d’experts en sécurité qui ont examiné les charges utiles des logiciels malveillants et les modèles d’attaque, soulignant que cela expliquait le ciblage très sélectif au cours de la campagne.
Rapid7 a enquêté sur l’incident et a identifié les acteurs de la menace comme étant Lotus Blossom, un groupe d’espionnage de longue date lié à la Chine. Le groupe cible les secteurs du gouvernement, des télécommunications, de l’aviation, des infrastructures critiques et des médias. Notepad++ est un éditeur de texte open source populaire avec plus de deux décennies d’histoire et des dizaines de millions de téléchargements dans le monde, y compris par des employés d’organisations du monde entier.
Le chercheur en sécurité Kevin Beaumont a découvert pour la première fois la cyberattaque en décembre 2025. Il a rapporté que des pirates informatiques ont compromis un petit nombre d’organisations ayant des intérêts en Asie de l’Est après que les utilisateurs ont installé une version corrompue du logiciel. Beaumont a déclaré que les attaquants ont obtenu un accès « pratique » aux ordinateurs des victimes exécutant les mises à jour Notepad++ piratées.
Ho a détaillé le mécanisme d’attaque dans un article de blog publié lundi. Le site Web de Notepad++ était hébergé sur un serveur partagé. Les attaquants ont spécifiquement ciblé le domaine Web, exploitant un bug logiciel pour rediriger certains utilisateurs vers un serveur malveillant contrôlé par les pirates. Cela a permis la fourniture de mises à jour malveillantes aux utilisateurs demandant des mises à jour logicielles. La redirection s’est poursuivie jusqu’à ce que Ho corrige le bug en novembre 2025, mettant fin à l’accès des pirates début décembre 2025.
Ho a partagé des journaux montrant que les attaquants ont tenté de réexploiter la vulnérabilité corrigée, mais leurs efforts ont échoué après le correctif. Dans un e-mail adressé à TechCrunch, Ho a déclaré que son fournisseur d’hébergement avait confirmé que le serveur partagé avait été compromis, mais n’avait pas révélé comment la violation initiale s’était produite.
Ho s’est excusé pour l’incident et a exhorté les utilisateurs à télécharger la dernière version de Notepad++, qui inclut le correctif de bogue.
La cyberattaque Notepad++ ressemble à la faille SolarWinds de 2019-2020. Les espions du gouvernement russe ont piraté les serveurs de SolarWinds et installé une porte dérobée dans les mises à jour logicielles des outils informatiques et de gestion de réseau utilisés par les organisations Fortune 500, y compris les ministères américains. Le compromis a touché des agences telles que la Sécurité intérieure et les ministères du Commerce, de l’Énergie, de la Justice et de l’État. Une fois que les clients ont installé les mises à jour corrompues, la porte dérobée a permis aux espions russes d’accéder aux réseaux.
