Perusahaan keamanan siber Kaspersky baru-baru ini mengungkap jaringan serangan yang menyasar rantai pasokan aplikasi Notepad++. Penelitian menunjukkan bahwa serangan ini menargetkan sejumlah organisasi, termasuk lembaga pemerintahan di Filipina dan lembaga keuangan di El Salvador.
Temuan ini menunjukkan tingginya kompleksitas dari serangan tersebut, yang melibatkan sedikitnya tiga rantai infeksi yang berbeda. Ini jelas bukan hanya serangan acak, melainkan ancaman terorganisir yang memiliki tujuan dan target yang spesifik.
Menurut laporan Kaspersky, para penyerang memperbarui metode dan alat mereka secara rutin antara Juli hingga Oktober 2025. Pengubahan ini menciptakan kesulitan dalam mendeteksi dan mencegah serangan yang sedang berlangsung.
Rincian Serangan dan Metodologi yang Digunakan
Para peneliti mencatat bahwa setiap rantai serangan menggunakan kombinasi alamat IP, nama domain, dan metode penyampaian yang bervariasi. Ini membuatnya semakin sulit untuk melacak asal-usul dan pola serangan tersebut.
Serangan yang terjadi pada rantai pasokan Notepad++ melibatkan modifikasi infrastruktur malware dan kontrol perintah yang diperbarui secara teratur. Hal ini menunjukkan bahwa para penyerang berusaha keras untuk menghindari deteksi.
Bahkan, para peneliti mengungkapkan bahwa sebagian besar informasi mengenai serangan ini tidak dipublikasikan sebelumnya. Sebagian besar data terkait kemungkinan kompromi hanya baru terungkap pada Oktober 2025.
Pernyataan dan Tanggapan dari Tim Notepad++
Notepad++ memberikan pernyataan pada 2 Februari 2026 terkait insiden tersebut dengan mengatakan bahwa serangan dimulai sejak Juni 2025. Mereka menduga bahwa penyerang kemungkinan merupakan kelompok yang memiliki dukungan dari negara tertentu.
Demi mencegah kerugian lebih lanjut, pihak Notepad++ sudah memindahkan server hosting ke lokasi baru dan melakukan investigasi lebih mendalam. Mereka mencatat akses tidak sah ke dalam log server selama periode tertentu.
Pertama kali terdeteksi, serangan ini berkaitan dengan pemeliharaan terjadwal yang dilakukan pada tanggal 2 September 2025, di mana server dikenakan pembaruan perangkat lunak dan firmware.
Analisis Dampak Serangan dan Langkah yang Ditempuh
Kaspersky menyatakan bahwa pengguna yang telah memeriksa sistem mereka terhadap indikator kompromi yang diketahui tidak boleh berasumsi bahwa mereka aman. Siklus perubahan yang cepat dalam strategi penyerang menandakan bahwa mampu beradaptasi dengan cepat menjadi kunci bagi efektivitas mereka.
Pihak Notepad++ menjelaskan bahwa meskipun akses ke server telah dibatasi, penyerang masih tetap dapat mempertahankan kredensial yang memungkinkan mereka untuk mengarahkan lalu lintas dengan cara yang merugikan.
Para peneliti menemukan bahwa tidak adanya buktibukti dari sistem keamanan lain yang mungkin terlibat dalam serangan ini menggambarkan bahwa serangan ini sangat terfokus dan direncanakan dengan baik.
