Perusahaan keamanan siber Kaspersky mengungkap jaringan serangan siber tersembunyi dalam rantai pasokan aplikasi Notepad++. Para peneliti dari Kaspersky Global Research and Analysis Team (GReAT) menemukan bahwa penyerang di balik kompromi rantai pasokan Notepad++ menargetkan sebuah organisasi pemerintahan di Filipina, sebuah lembaga keuangan di El Salvador, sebuah penyedia layanan TI di Vietnam, dan para individu di tiga negara. Serangan ini disebut menggunakan setidaknya tiga rantai infeksi yang berbeda, dengan dua di antaranya masih belum diketahui publik.
Para penyerang sepenuhnya mengubah malware, infrastruktur perintah dan kontrol, serta metode pengiriman mereka kira-kira setiap bulan antara Juli dan Oktober 2025. Rantai serangan tunggal yang didokumentasikan secara publik hingga saat ini hanya mewakili fase terakhir dari kampanye yang jauh lebih panjang dan lebih canggih. Para pengembang Notepad++ mengungkapkan pada 2 Februari 2026 bahwa infrastruktur pembaruan mereka telah dikompromikan karena insiden penyedia hosting. Pelaporan publik sebelumnya hanya berfokus pada malware yang diamati pada Oktober 2025, sehingga organisasi tidak menyadari indikator kompromi yang sama sekali berbeda yang digunakan dari Juli hingga September.
Kaspersky mengatakan setiap rantai menggunakan alamat IP berbahaya, nama domain, metode eksekusi, dan muatan yang berbeda. Solusi keamanan Kaspersky sendiri telah memblokir semua serangan yang teridentifikasi saat terjadi. “Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman,” kata Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT. Lebih lanjut, pakar GReAT telah menerbitkan daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL C2, dan delapan hash file berbahaya yang belum dilaporkan sebelumnya. Daftar IoC lengkap dan analisis teknis tersedia di Securelist.
Notepad++ mengatakan insiden ini dimulai pada Juni 2025. Mengutip beberapa peneliti keamanan independen, mereka mengatakan bahwa aktor ancaman kemungkinan besar merupakan kelompok yang didukung oleh negara China, yang dapat menjelaskan penargetan yang sangat selektif yang diamati selama kampanye tersebut. Merespons hal tersebut, Notepad++ telah memindahkan uanggahan hosting web klien ke server baru. Dalam penelusurannya, Notepad++ menemukan beberapa poin utama dalam serangan ini. Notepad++ juga telah mengganti semua kredensial yang mungkin diperoleh oleh pelaku jahat hingga tanggal 2 September 2025. Notepad++ mengimbau pengguna untuk memeriksa akun administrator untuk situs WordPress (jika ada), ubah kata sandi, dan hapus pengguna yang tidak diperlukan. Selain itu, pengguna juga diimbau memperbarui plugin, tema, dan versi inti WordPress (jika ada), dan aktifkan pembaruan otomatis jika tersedia.
