Perusahaan keamanan siber Kaspersky mengungkap adanya serangan siber tersembunyi yang memanfaatkan rantai pasokan aplikasi teks editor populer, Notepad++. Serangan ini dinilai sebagai kampanye canggih yang berlangsung berbulan-bulan dan menargetkan korban secara sangat selektif.
Tim peneliti Kaspersky Global Research and Analysis Team (GReAT) menemukan bahwa pelaku kompromi rantai pasokan Notepad++ menyasar organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan teknologi informasi di Vietnam, serta sejumlah individu di beberapa negara lain.
Menurut Kaspersky, kampanye ini menggunakan setidaknya tiga rantai infeksi berbeda. Dua di antaranya bahkan belum pernah terungkap ke publik. Setiap rantai memiliki karakteristik unik, mulai dari alamat IP berbahaya, nama domain, metode eksekusi, hingga muatan malware yang digunakan.
Yang membuat serangan ini sulit dideteksi, para pelaku secara aktif merotasi malware, infrastruktur command and control (C2), serta teknik distribusi hampir setiap bulan, khususnya pada periode Juli hingga Oktober 2025. Rantai serangan yang sebelumnya terlaporkan ke publik hanya merepresentasikan tahap akhir dari operasi yang jauh lebih panjang dan kompleks.
Kaspersky juga mengingatkan bahwa banyak organisasi kemungkinan luput mendeteksi serangan ini. Pasalnya, pelaporan sebelumnya hanya berfokus pada malware yang muncul pada Oktober 2025, sementara indikator kompromi pada fase Juli–September sama sekali berbeda.
“Pengguna yang memeriksa sistem mereka berdasarkan IoC yang sudah diketahui publik dan tidak menemukan apa pun tidak boleh langsung berasumsi bahwa sistem mereka aman,” kata peneliti keamanan senior Kaspersky GReAT, Georgy Kucherin, Senin (9/2).
Sebagai bagian dari pengungkapan ini, Kaspersky merilis daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL C2, serta delapan hash file berbahaya yang sebelumnya belum pernah dilaporkan. Seluruh analisis teknis dipublikasikan melalui laman Securelist. Kaspersky juga memastikan solusi keamanannya berhasil memblokir seluruh serangan yang teridentifikasi saat terjadi.
Penjelasan dari Notepad++
Pihak Notepad++ mengonfirmasi bahwa insiden ini bermula pada Juni 2025 dan berkaitan dengan kompromi pada infrastruktur penyedia hosting. Mengacu pada analisis peneliti keamanan independen, aktor ancaman dalam serangan ini diduga merupakan kelompok yang didukung oleh negara China, yang menjelaskan pola penargetan yang terbatas dan presisi.
Notepad++ menyebut server hosting bersama yang digunakan telah diretas hingga 2 September 2025. Setelah dilakukan pemeliharaan terjadwal berupa pembaruan kernel dan firmware, pelaku kehilangan akses langsung ke server tersebut. Namun, kredensial internal yang tersimpan memungkinkan pelaku tetap mengalihkan sebagian lalu lintas pembaruan hingga Desember 2025.
Melalui teknik tersebut, pelaku dapat mengarahkan pengguna ke URL pembaruan palsu yang berisi versi Notepad++ yang telah dimodifikasi. Notepad++ menegaskan bahwa tidak ada klien lain pada server tersebut yang menjadi target dan serangan secara spesifik ditujukan ke domain resmi Notepad++.
Setelah kerentanan diperbaiki, upaya lanjutan pelaku untuk mengeksploitasi celah yang sama dilaporkan gagal. Notepad++ juga telah mengganti seluruh kredensial yang berpotensi bocor serta memastikan tidak ditemukan indikasi kebocoran data pada server hosting lainnya.
Sebagai langkah pencegahan, Notepad++ mengimbau pengguna untuk meningkatkan keamanan sistem, termasuk memeriksa akun administrator WordPress (jika digunakan), mengganti kata sandi, memperbarui plugin dan tema, serta mengaktifkan pembaruan otomatis.
Editor: Anast