Une nouvelle attaque de la chaîne d’approvisionnement a touché le célèbre éditeur de texte open source Notepad++. Des acteurs malveillants liés à la Chine, connus sous le nom de Lotus Blossom, ont compromis son infrastructure d’hébergement afin de diffuser un malware sophistiqué. Cette intrusion visait les utilisateurs via un faux mécanisme de mise à jour utilisé pour installer une porte dérobée inédite. Ce cas soulève à nouveau la question de la cybersécurité des logiciels open source et de la protection contre les attaques informatiques ciblées. Voici tous les détails de cette compromission révélés par Rapid7 et Kaspersky.
Une infrastructure de mise à jour compromise dès l’été 2025
Une attaque ciblée via la mise à jour de Notepad++
Selon Rapid7, la compromission remonte à juin 2025, lorsque des pirates ont exploité une faille dans le contrôle de vérification des mises à jour de Notepad++. Cette vulnérabilité permettait de détourner les requêtes de certains utilisateurs vers un serveur malveillant. Le fichier piégé, nommé « update.exe », s’apparentait à un installeur NSIS contenant plusieurs composants : un fichier de script, un exécutable masqué utilisé pour le sideloading DLL (BluetoothService.exe), du shellcode chiffré, et une DLL malveillante baptisée log.dll.
Chrysalis, une porte dérobée avancée
Le malware injecté, surnommé Chrysalis, est un implant sur mesure capable de récolter de nombreuses informations système. Il communiquait avec un domaine externe (api.skycloudcenter[.]com) pour potentiellement recevoir des commandes à exécuter. Ses fonctionnalités incluent l’exécution de shell interactifs, la création de processus et la gestion de fichiers. Des traces révèlent aussi l’utilisation de shellcodes pour télécharger un beacon Cobalt Strike via un loader embarquant le framework Metasploit.
Une campagne d’attaque sophistiquée attribuée à Lotus Blossom
Des outils personnalisés et des techniques avancées
L’implant Chrysalis a été attribué au groupe Lotus Blossom (aussi connu sous les noms de Billbug, Bronze Elgin ou encore Spring Dragon). Selon Rapid7, cette attribution repose sur des éléments identifiés dans de précédentes campagnes menées par ce groupe parrainé par un État. Ces opérations incluaient l’utilisation de binaires légitimes de Bitdefender et Trend Micro pour camoufler des DLL malveillantes.
Les attaquants combinent des outils propriétaires comme Chrysalis avec des frameworks bien connus tels que Metasploit et Cobalt Strike, en exploitant aussi des techniques de chercheurs en sécurité. Notamment, ils ont réapproprié un proof of concept publié par la société allemande Cirosec en septembre 2024, démontrant leur capacité à tirer profit de recherches publiques pour renforcer leur arsenal.
Microsoft Warbird utilisé pour masquer les charges utiles
Parmi les éléments les plus préoccupants, un loader binaire baptisé « ConsoleApplication2.exe » utilise Microsoft Warbird, un framework interne et non documenté de protection du code utilisé pour exécuter le shellcode. Ce type de sophistication montre que les attaquants adaptent leurs techniques en permanence pour éviter détections et analyses.
Trois chaînes d’infection observées par Kaspersky
Une propagation ciblée dans plusieurs pays
Les chercheurs de Kaspersky ont identifié trois chaînes d’infection distinctes impliquant au total une dizaine d’organisations dans plusieurs pays : Vietnam, Australie, Salvador et Philippines. De juillet à octobre 2025, les attaquants ont modifié chaque mois les adresses de serveurs C2, les implants déployés et les chargeurs utilisés pour éviter toute détection systématique.
Des variantes d’infection avec collecte d’informations système
Les premières infections utilisaient l’exécutable « update.exe » téléchargeable via l’adresse IP 45.76.155[.]202. L’installateur récoltait des informations systèmes de base (whoami, tasklist), puis simulait un comportement légitime avant de déployer un téléchargeur Metasploit et un beacon Cobalt Strike.
Dans les variantes observées en septembre, les attaquants ont élargi leur collecte d’information (ajout de netstat, systeminfo) et ont utilisé de nouveaux serveurs comme 95.179.213[.]0. Ils ont constamment modifié les éléments du malware, rendant le suivi technique particulièrement complexe.
Conséquences et bonnes pratiques face aux attaques de la chaîne logistique
Péril des failles dans les mécanismes de mise à jour
Ce type de compromission montre à quel point les attaques de la chaîne d’approvisionnement logicielle peuvent être efficaces. En s’attaquant à l’infrastructure de mise à jour, les hackeurs peuvent viser des profils spécifiques tout en restant discrets. C’est un vecteur d’infection redoutable que les entreprises doivent surveiller attentivement.
Ressources pour comprendre les techniques des attaquants
Pour ceux qui souhaitent approfondir leur compréhension des schémas d’attaque comme ceux de Lotus Blossom, CyberCare propose un livre pour hacker contenant des exemples concrets de techniques utilisées par les acteurs malveillants. Ce livre pour apprendre à hacker est idéal pour toute personne souhaitant renforcer sa culture en cybersécurité ou évoluer dans ce domaine.
Si cette attaque illustre la montée en puissance des menaces liées aux logiciels open source, elle rappelle aussi l’importance de sécuriser ses propres déploiements grâce à des services comme ceux que CyberCare propose à ses clients pour protéger les environnements informatiques critiques.
