Le célèbre éditeur de texte open source Notepad++ a été la cible d'une attaque sophistiquée de la chaîne d'approvisionnement de la part d'un acteur soupçonné d'être parrainé par un État.
Les enquêtes menées par le créateur du logiciel, un fournisseur privé de réponse aux incidents et le fournisseur de sécurité Rapid7 ont confirmé que l'attaque abuse de l'architecture de distribution des logiciels, plutôt que d'exploiter le logiciel lui-même.
L'auteur du projet utilisait un fournisseur d'infrastructure tiers pour distribuer les mises à jour du logiciel aux utilisateurs, qui aurait été supprimé au moment de la rédaction du présent rapport.
L'acteur de la menace a compromis cette tierce partie et a pu effectuer une attaque AITM/Redirection, ce qui signifie que les utilisateurs ont téléchargé une mise à jour malveillante.
Une fois téléchargé, le composant logiciel malveillant exécute une série d'actions malveillantes conçues pour maintenir un accès persistant et ne pas être détecté par les logiciels de sécurité.
Les actions suivantes ont été identifiées au cours des recherches menées par Rapid7 :
- Création de fichiers exécutables malveillants
- Chargement latéral de DLL
- obscurcissement du code en temps réel à l'aide de pages de code cryptées couramment utilisées pour éviter l'analyse des logiciels malveillants
- Connexion à un canal de commande et de contrôle externe pour poursuivre l'activité malveillante.
- Mécanismes de persistance traditionnels, y compris les services malveillants et les clés de registre.
La fonctionnalité du logiciel malveillant une fois qu'il est exécuté sur une machine compromise comprend l'accès complet à l'interpréteur de commandes dans le contexte du programme exécuté, l'écriture et la lecture de fichiers arbitraires sur le disque, l'autodésinfection, etc.
La fenêtre d'accès de l'acteur de la menace s'étendrait de juin 2025 à décembre 2025.
Depuis l'attaque, l'auteur de Notepad++ a changé d'hébergeur, lancé un processus de réponse aux incidents et publié des mises à jour de sécurité (v8.9.1) pour le logiciel Notepad++.
Si des utilisateurs de votre organisation ont utilisé Notepad pendant la période concernée, il est prudent de procéder à une enquête et à une évaluation de la compromission à l'aide d'une télémétrie EDR ou d'une analyse criminalistique numérique afin de déterminer si la mise à jour malveillante a été appliquée.
Les IoCs de l'enquête de Rapid7 sont disponibles ici : https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
Ils peuvent être utilisés pour mener des enquêtes.
Il est difficile d'atténuer les attaques sophistiquées de tiers de cette nature, étant donné qu'aucune interaction avec l'utilisateur n'a été nécessaire, si ce n'est la mise à jour du logiciel par les canaux officiels.
Il est donc essentiel que les mesures correctes de surveillance (EDR) et de prévention (antivirus) soient mises en place au sein de votre organisation.
Si vous pensez que cet incident a pu affecter votre organisation, contactez le SOC d'Integrity360 ou l'équipe de réponse aux incidents d'Integrity360 pour obtenir de l'aide.