Insiden keamanan yang menimpa Notepad++ kembali menjadi sorotan setelah para peneliti Kaspersky mengungkap fakta baru yang jauh lebih mengkhawatirkan.
Serangan ini ternyata bukan sekadar kasus malware tunggal, melainkan bagian dari kampanye supply chain attack yang berlangsung lama, terstruktur, dan menyasar berbagai sektor strategis di lintas negara.
Tim Kaspersky Global Research and Analysis Team (GReAT) menemukan bahwa kompromi pada infrastruktur pembaruan Notepad++ dimanfaatkan penyerang untuk menargetkan organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan TI di Vietnam, hingga individu di beberapa negara lainnya.
Temuan ini memperluas cakupan ancaman yang sebelumnya hanya dipahami sebagai serangan terbatas pada satu fase tertentu.
Rantai Serangan Berlapis yang Berubah Secara Berkala
Menurut Kaspersky, penyerang menggunakan setidaknya tiga rantai infeksi berbeda, dua di antaranya belum pernah terungkap ke publik.
Yang membuat kasus ini semakin serius, para pelaku secara konsisten mengganti malware, infrastruktur command-and-control (C2), serta metode distribusi hampir setiap bulan, khususnya pada periode Juli hingga Oktober 2025.
Artinya, rantai serangan yang sempat dilaporkan secara publik pada Oktober 2025 hanyalah potongan akhir dari kampanye siber yang jauh lebih panjang dan canggih.
“Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman”, kata Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT.
Organisasi yang melakukan pemeriksaan keamanan berdasarkan indikator kompromi (IoC) lama berpotensi melewatkan fase serangan sebelumnya yang menggunakan infrastruktur berbeda sama sekali.
Infrastruktur Update Jadi Celah Krusial
Notepad++ sendiri mengonfirmasi pada awal Februari 2026 bahwa infrastruktur pembaruannya telah dikompromikan akibat insiden pada penyedia hosting.
Kondisi ini membuka celah bagi penyerang untuk menyisipkan pembaruan berbahaya ke dalam sistem distribusi resmi, sebuah skenario klasik namun sangat efektif dalam serangan supply chain.
Setiap fase serangan memanfaatkan alamat IP, domain, hash file, dan teknik eksekusi yang berbeda. Pendekatan ini dirancang untuk menghindari deteksi jangka panjang serta memperpanjang masa hidup kampanye.
Meski demikian, Kaspersky menyatakan bahwa solusi keamanannya berhasil memblokir seluruh serangan yang teridentifikasi saat terjadi.
Peringatan Serius bagi Organisasi dan Individu
Kaspersky menegaskan bahwa absennya temuan dari pemeriksaan IoC yang sudah dipublikasikan tidak serta-merta menjamin sistem aman.
Infrastruktur serangan pada periode Juli hingga September 2025 menggunakan indikator yang sama sekali berbeda, sehingga membutuhkan pendekatan deteksi yang lebih komprehensif dan berlapis.
Sebagai langkah mitigasi, tim GReAT telah merilis daftar lengkap indikator kompromi terbaru, termasuk enam hash pembaruan berbahaya, 14 URL command-and-control, serta delapan hash file berbahaya yang sebelumnya belum dilaporkan.
Informasi teknis ini dipublikasikan untuk membantu organisasi meningkatkan postur pertahanan mereka terhadap ancaman serupa di masa depan.
Kasus Notepad++ kembali menegaskan bahwa keamanan rantai pasokan perangkat lunak kini menjadi salah satu titik paling kritis dalam ekosistem digital global.
Aplikasi yang dipercaya jutaan pengguna dapat berubah menjadi vektor serangan ketika infrastruktur pendukungnya disusupi.
Scr/Mashable
