Entre juin et début décembre 2025, Notepad++ indique avoir été visé par une attaque « hautement sélective » menée par un groupe soutenu par un État. Selon l’éditeur, l’incident ne concerne pas le code du logiciel lui-même mais son mécanisme de mise à jour automatique, exploité via l’infrastructure de son ancien hébergeur.
Une attaque au niveau de l’hébergement
Des acteurs malveillants sont parvenus à intercepter et rediriger certaines requêtes liées au module d’auto-update WinGup. Le serveur mutualisé concerné aurait été compromis jusqu’au 2 septembre 2025. Après cette date, les attaquants auraient conservé des identifiants de services internes jusqu’au 2 décembre, leur permettant de continuer à rediriger une partie du trafic vers des serveurs sous leur contrôle.
Les analyses indiquent un ciblage spécifique du domaine notepad-plus-plus.org, sans éléments attestant d’autres clients impactés sur le même serveur.
Une campagne sélective attribuée à un acteur étatique
Dans son premier communiqué, Notepad++ indique que « plusieurs chercheurs en sécurité indépendants ont estimé que l’acteur à l’origine de l’attaque serait probablement un groupe soutenu par l’État chinois ». La campagne était décrite comme hautement sélective, visant des organisations considérées comme stratégiques. L’éditeur précise que la grande majorité des utilisateurs n’aurait pas été concernée.
Depuis, le site a été migré vers un nouvel hébergeur et le mécanisme de mise à jour renforcé. La version 8.9.1 intègre des vérifications supplémentaires des certificats et signatures. Selon Notepad++, l’ensemble des mesures correctives était achevé au 2 décembre 2025.
