Peretasan terhadap rantai pasokan aplikasi Notepad++ mengungkap metode serangan siber terstruktur yang mengalihkan jalur pembaruan aplikasi menjadi pintu masuk malware. Berdasarkan temuan terbaru dari Kaspersky Global Research and Analysis Team (GReAT), operasi ini berlangsung lebih lama dan menyasar lebih banyak korban daripada yang sebelumnya diketahui publik.

Kaspersky mengidentifikasi serangan ini menargetkan organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan TI di Vietnam, serta sejumlah individu di tiga negara tersebut. Kampanye ini menggunakan sedikitnya tiga rantai infeksi berbeda, dengan dua di antaranya belum pernah dilaporkan sebelumnya.

Kronologi Pengalihan Jalur Pembaruan

Berdasarkan log internal Notepad++, insiden ini bermula pada Juni 2025. Pelaku meretas server hosting bersama yang digunakan untuk menghosting aplikasi. Meskipun server tersebut menjalani pemeliharaan rutin pada 2 September 2025 yang menyebabkan pelaku kehilangan akses langsung, mereka tetap menguasai kredensial layanan internal perusahaan.

Kredensial tersebut digunakan oleh pelaku hingga 2 Desember 2025 untuk mengalihkan sebagian lalu lintas yang menuju ke alamat https://notepad-plus-plus.org/update/get Download Url.php. Penyerang mengarahkan pengguna ke server milik mereka sendiri dan mengirimkan URL unduhan pembaruan yang telah disisipi kode berbahaya.

Notepad++ menjelaskan bahwa pelaku secara spesifik mengincar domain mereka untuk mengintersepsi lalu lintas situs web. Hal ini dilakukan karena pelaku kemungkinan mengetahui adanya kerentanan terkait kontrol verifikasi pembaruan yang tidak memadai pada aplikasi tersebut saat itu.

Rotasi Infrastruktur dan Malware

Para penyerang diketahui rutin mengganti infrastruktur serangan mereka hampir setiap bulan antara Juli hingga Oktober 2025. Perubahan tersebut meliputi jenis malware, infrastruktur command and control (C2), hingga metode distribusi. Kaspersky mencatat setiap rantai serangan menggunakan alamat IP, domain, metode eksekusi, dan muatan (payload) yang berbeda-beda.

Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT, menyatakan bahwa infrastruktur yang digunakan pada periode Juli hingga September sepenuhnya berbeda dengan yang ditemukan pada Oktober. Hal ini mencakup perbedaan pada IP, domain, hingga hash file yang digunakan.

“Para ahli yang memeriksa sistem mereka terhadap IoC (Indicator of Compromise) yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman,” kata Kucherin dalam keterangan resmi, Senin (9/2/2026).

Kaspersky juga tidak menutup kemungkinan adanya rantai serangan tambahan yang belum ditemukan mengingat kecepatan rotasi alat yang dilakukan oleh kelompok penyerang tersebut.

Dugaan Keterlibatan Aktor Negara

Pihak Notepad++ mengutip pernyataan beberapa peneliti keamanan independen yang menyebut bahwa aktor di balik serangan ini kemungkinan besar merupakan kelompok yang didukung oleh negara China. Dugaan ini muncul setelah mengamati pola penargetan yang dianggap sangat selektif selama kampanye berlangsung.

Hasil penelusuran log menunjukkan tidak ada klien lain yang dihosting di server yang sama menjadi target serangan. Fokus utama pelaku sepenuhnya tertuju pada upaya manipulasi jalur distribusi Notepad++ untuk menjangkau target-target spesifik di berbagai negara.

Langkah Pencegahan dan Pemulihan

Merespons temuan tersebut, pengembang Notepad++ telah melakukan sejumlah langkah pemulihan untuk mengamankan pengguna. Perusahaan telah memindahkan seluruh unggahan hosting web klien ke server baru dan mengganti semua kredensial yang berpotensi diperoleh pelaku sebelum 2 September 2025.

Notepad++ juga menyatakan telah memperbaiki kerentanan pada sistem verifikasi pembaruan. Log perusahaan menunjukkan bahwa pelaku sempat mencoba kembali memanfaatkan kerentanan yang sama, namun upaya tersebut gagal setelah perbaikan diterapkan. Per 2 Desember 2025, temuan keamanan yang diinvestigasi diklaim tidak lagi teramati pada sistem hosting mereka.

Rekomendasi Keamanan Untuk Anda

Untuk membantu proses mitigasi, Kaspersky telah menerbitkan daftar lengkap indikator kompromi. Daftar tersebut meliputi:

  • Enam hash pembaruan berbahaya.
  • 14 URL command and control (C2).
  • Delapan hash file berbahaya yang sebelumnya belum dilaporkan.

Selain itu, pengguna diimbau untuk memeriksa akun administrator pada situs WordPress jika memiliki integrasi tertentu, memperbarui kata sandi, serta menghapus akun pengguna yang tidak diperlukan. Pengembang juga menyarankan untuk selalu memperbarui plugin, tema, dan versi inti WordPress ke versi terbaru dengan mengaktifkan fitur pembaruan otomatis.