Des pirates chinois ont utilisé Notepad++ comme porte dérobée pendant des mois pour installer des logiciels malveillants.
L’infrastructure de mise à jour de Notepad++, une alternative open source à Notepad, s’est avérée compromise pendant six mois, permettant aux attaquants de diffuser des versions manipulées de l’éditeur de texte Windows populaire à des victimes ciblées.
Attaques ciblées via le canal de mise à jour
Les développeurs confirment que, depuis juin de l’année dernière, des attaquants interceptent et redirigent le trafic de mise à jour vers des serveurs malveillants. Ce n’est qu’en décembre que Notepad++ a repris le contrôle total de son infrastructure. Selon plusieurs chercheurs en sécurité, la piste mène à un groupe de menaces soutenu par la Chine.
Selon un chercheur d’Arstechnica, les attaquants ont profité d’une vérification faible dans les anciens processus de mise à jour. Cela leur a permis d’envoyer certains utilisateurs vers des serveurs de téléchargement alternatifs. Une nouvelle porte dérobée y a été installée, leur donnant un contrôle externe sur le système pour le vol de données.
Faille technique
Notepad++ utilisait son propre programme de mise à jour qui récupérait les informations via un fichier XML. En manipulant le trafic, les attaquants pouvaient modifier l’emplacement de téléchargement. Bien que les versions plus récentes utilisent la signature numérique, le contrôle dans les versions antérieures s’est avéré insuffisamment robuste.
Les développeurs recommandent d’installer manuellement au moins la version 8.9.1 via le site web officiel. Les organisations ayant des exigences de sécurité plus strictes peuvent envisager de bloquer les mises à jour automatiques ou de limiter l’accès au réseau pour le programme de mise à jour.