Waspada Serangan Siber Tersembunyi Manfaatkan Notepad++
Perusahaan keamanan siber Kaspersky mengungkap jaringan serangan siber tersembunyi dalam rantai pasokan aplikasi Notepad++.
Para peneliti dari Kaspersky Global Research and Analysis Team (GReAT) menemukan bahwa penyerang di balik kompromi rantai pasokan Notepad++ menargetkan sebuah organisasi pemerintahan di Filipina, sebuah lembaga keuangan di El Salvador, sebuah penyedia layanan TI di Vietnam, dan para individu di tiga negara.
Serangan ini disebut menggunakan setidaknya tiga rantai infeksi yang berbeda, dengan dua di antaranya masih belum diketahui publik.
Para penyerang sepenuhnya mengubah malware, infrastruktur perintah dan kontrol, serta metode pengiriman mereka kira-kira setiap bulan antara Juli dan Oktober 2025.
Rantai serangan tunggal yang didokumentasikan secara publik hingga saat ini hanya mewakili fase terakhir dari kampanye yang jauh lebih panjang dan lebih canggih.
Para pengembang Notepad++ mengungkapkan pada 2 Februari 2026 bahwa infrastruktur pembaruan mereka telah dikompromikan karena insiden penyedia hosting.
Pelaporan publik sebelumnya hanya berfokus pada malware yang diamati pada Oktober 2025, sehingga organisasi tidak menyadari indikator kompromi yang sama sekali berbeda yang digunakan dari Juli hingga September.
Kaspersky mengatakan setiap rantai menggunakan alamat IP berbahaya, nama domain, metode eksekusi, dan muatan yang berbeda.
Solusi keamanan Kaspersky sendiri telah memblokir semua serangan yang teridentifikasi saat terjadi.
"Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman," kata Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT, dalam keterangannya, Senin (9/2).
"Infrastruktur Juli-September benar-benar berbeda - IP yang berbeda, domain yang berbeda, hash file yang berbeda. Dan mengingat seberapa sering penyerang ini merotasi alat mereka, kita tidak dapat mengesampingkan keberadaan rantai tambahan yang belum ditemukan," tambahnya.
Lebih lanjut, pakar GReAT telah menerbitkan daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL C2, dan delapan hash file berbahaya yang belum dilaporkan sebelumnya. Daftar IoC lengkap dan analisis teknis tersedia di Securelist.
Pernyataan Notepad++
Notepad++ mengatakan insiden ini dimulai pada Juni 2025. Mengutip beberapa peneliti keamanan independen, mereka mengatakan bahwa aktor ancaman kemungkinan besar merupakan kelompok yang didukung oleh negara China, yang dapat menjelaskan penargetan yang sangat selektif yang diamati selama kampanye tersebut.
Merespons hal tersebut, Notepad++ telah memindahkan uanggahan hosting web klien ke server baru.
"Kami menemukan peristiwa mencurigakan dalam log kami, yang menunjukkan bahwa server (di mana aplikasi Anda https://notepad-plus-plus.org/update/get Download Url.php dihosting hingga 1 Desember 2025) kemungkinan telah diretas.
Sebagai langkah pencegahan, kami segera memindahkan semua langganan hosting web klien dari server tersebut ke server baru dan melanjutkan penyelidikan lebih lanjut," kata Notepad++ di lamannya, Senin (2/2).
Dalam penelusurannya, Notepad++ menemukan beberapa poin utama dalam serangan ini. Pertama, server hosting bersama yang bersangkutan telah diretas hingga tanggal 2 September 2025. Pada tanggal tersebut, server tersebut menjalani pemeliharaan terjadwal di mana kernel dan firmware diperbarui.
Setelah tanggal tersebut, Notepad++ tidak dapat mengidentifikasi pola serupa dalam log, yang menunjukkan bahwa pelaku jahat telah kehilangan akses ke server. Notepad++ juga tidak menemukan bukti pola serupa pada server hosting bersama lainnya.
"Meskipun pelaku jahat telah kehilangan akses ke server sejak 2 September 2025, mereka tetap mempertahankan kredensial layanan internal kami yang ada di server tersebut hingga 2 Desember, yang memungkinkan pelaku jahat untuk mengalihkan sebagian lalu lintas yang menuju https://notepad-plus-plus.org/get Download Url.phpke server mereka sendiri dan mengembalikan URL unduhan pembaruan dengan pembaruan yang telah diretas," jelasnya.
Berdasarkan log Notepad++, tidak ada klien lain yang dihosting di server tersebut yang menjadi target. Pelaku jahat secara khusus mencari domain https://notepad-plus-plus.org/dengan tujuan meng-intercept lalu lintas ke situs web Anda, karena mereka mungkin mengetahui kerentanan Notepad++ yang ada saat itu terkait dengan kontrol verifikasi pembaruan yang tidak memadai.
Setelah menyelesaikan penelusuran, temuan keamanan yang diinvestigasi tidak lagi teramati pada sistem hosting web mulai tanggal 2 Desember 2025 dan seterusnya.
Hal tersebut dikarenakan mereka telah memperbaiki kerentanan yang dapat digunakan untuk menargetkan Notepad++. Secara khusus, Notepad++ memiliki log yang menunjukkan bahwa pelaku jahat mencoba untuk kembali memanfaatkan salah satu kerentanan yang telah diperbaiki, namun upaya tersebut tidak berhasil setelah perbaikan diterapkan.
Notepad++ juga telah mengganti semua kredensial yang mungkin diperoleh oleh pelaku jahat hingga tanggal 2 September 2025.
"Kami telah memeriksa log untuk pola serupa di semua server hosting web dan tidak menemukan bukti sistem yang diretas, dieksploitasi dengan cara serupa, atau data yang bocor," katanya.
Notepad++ mengimbau pengguna untuk memeriksa akun administrator untuk situs WordPress (jika ada), ubah kata sandi, dan hapus pengguna yang tidak diperlukan.
Selain itu, pengguna juga diimbau memperbarui plugin, tema, dan versi inti WordPress (jika ada), dan aktifkan pembaruan otomatis jika tersedia.
(lom/mik)