Une application de codage open source populaire visée par une attaque de la chaîne d'approvisionnement liée à la Chine

Un groupe de cyberespionnage lié à la Chine, actif depuis de nombreuses années, a détourné le processus de mise à jour de la plateforme d'édition de code très populaire Notepad++ afin de distribuer une porte dérobée personnalisée et d'autres logiciels malveillants à des utilisateurs ciblés, ont déclaré lundi le développeur du programme et des chercheurs en cybersécurité.

Don Ho, le développeur de Notepad++ basé en France, a indiqué dans un billet publié lundi sur le site du projet que des acteurs malveillants avaient ciblé le processus de mise à jour pour certains utilisateurs spécifiques à partir de juin 2025. Les pirates ont eu accès au serveur d'hébergement utilisé pour les mises à jour de Notepad++ jusqu'au 2 septembre 2025, mais ont conservé les identifiants d'accès à certains services d'hébergement jusqu'au 2 décembre 2025, selon Ho.

Il n'était pas clair quels utilisateurs de Notepad++ étaient visés, ni combien. Ho a précisé dans un courriel qu'il ne disposait pas de visibilité sur le nombre de mises à jour malveillantes téléchargées.

« Ce que je sais de l'enquête, c'est que l'attaque était très sélective : tous les utilisateurs n'ont pas reçu de mises à jour malveillantes pendant la période de compromission, ce qui indique un ciblage délibéré plutôt qu'une distribution à grande échelle », a expliqué Ho.

Un porte-parole de la Cybersecurity and Infrastructure Security Agency a indiqué que l'agence « est informée de la compromission rapportée et enquête sur une possible exposition au sein du gouvernement des États-Unis (USG) ».

Le billet de Ho comprenait un message de son fournisseur d'hébergement concluant que le serveur utilisé pour délivrer les mises à jour aux clients « aurait pu être compromis » et que les pirates avaient spécifiquement ciblé le domaine associé à Notepad++.

Les registres d'enregistrement Internet montrent que le domaine était hébergé par le fournisseur lituanien Hostinger jusqu'au 21 janvier, un fait confirmé par Ho dans son courriel.

Un porte-parole de Hostinger a indiqué à Reuters par courriel qu'un « acteur malveillant a mené une attaque sur la chaîne d'approvisionnement, au cours de laquelle le trafic vers l'URL du fichier de mise à jour a été redirigé ». Hostinger collabore avec Notepad++ et partage toutes les informations liées à l'incident, et a également publié un billet sur le site de l'entreprise pour partager ce qu'il est possible, a précisé le porte-parole.

La société de cybersécurité Rapid7 a attribué cette campagne de piratage à un groupe de cyberespionnage lié à la Chine, identifié sous le nom de Lotus Blossom, dans un billet publié lundi. Actif depuis 2009, ce groupe a historiquement ciblé les secteurs gouvernementaux, des télécommunications, de l'aviation, des infrastructures critiques et des médias en Asie du Sud-Est et, plus récemment, en Amérique centrale, selon Rapid7.

Un porte-parole de l'ambassade de Chine à Washington a déclaré : « La Chine s'oppose et lutte contre toutes les formes de piratage conformément à la loi. Nous n'encourageons, ne soutenons ni ne tolérons aucune cyberattaque. Nous rejetons les affirmations irresponsables des parties concernées selon lesquelles le gouvernement chinois aurait commandité cette activité de piratage, alors qu'aucune preuve factuelle n'a été présentée. »

Selon l'analyse, le groupe de pirates a utilisé son accès pour déployer une porte dérobée personnalisée permettant de prendre le contrôle interactif des ordinateurs infectés, qui pouvaient ensuite servir de point d'appui pour voler des données et cibler d'autres machines.

Kevin Beaumont, chercheur en cybersécurité, a indiqué dans un billet du 2 décembre 2025 qu'il était au courant de trois organisations ayant des intérêts en Asie de l'Est qui avaient subi des incidents de sécurité potentiellement liés à Notepad++.