- Notepad++ ditargetkan dalam serangan gaya rantai pasokan yang canggih melalui server hosting yang disusupi
- Penyerang mengirimkan pembaruan yang tercemar kepada korban tertentu, mengeksploitasi kontrol verifikasi pembaruan yang lemah
- Pelanggaran berlangsung dari bulan Juni hingga Desember 2025, kemungkinan besar terkait dengan aktor yang disponsori negara Tiongkok, sehingga mendorong migrasi ke hosting baru dan memperketat verifikasi pembaruan
Notepad++ telah mengonfirmasi bahwa pihaknya adalah korban serangan siber yang sangat bertarget dan canggih, kemungkinan besar dilakukan oleh aktor ancaman yang disponsori negara Tiongkok.
Di sebuah pemberitahuan keamanan dipublikasikan di situs web proyek, perusahaan tersebut menjelaskan bahwa penyerang berhasil menyusupi server penyedia hosting bersama, dan menggunakannya untuk mengirimkan pembaruan yang tercemar ke segelintir korban yang dipilih dengan cermat.
“Kami menemukan kejadian mencurigakan di log kami, yang menunjukkan bahwa server mungkin telah disusupi,” kata pemberitahuan itu, mengutip informasi dari penyedia hosting. “Berdasarkan log kami, kami melihat tidak ada klien lain yang dihosting di server khusus ini yang menjadi sasaran. Pelaku kejahatan secara khusus mencari [Notepad++] domain dengan tujuan untuk mencegat lalu lintas ke situs web Anda, karena mereka mungkin mengetahui kerentanan Notepad++ yang ada saat itu terkait dengan kontrol verifikasi pembaruan yang tidak memadai.”
Serangan yang sangat bertarget dan canggih
Pengembang proyek menjelaskan bahwa penyelidikan eksternal juga menetapkan bahwa pelanggaran tersebut terjadi pada bulan Juni 2025, dengan penyerang mempertahankan akses hingga September 2025, ketika sebuah patch mengeluarkan mereka.
Namun, karena mereka tetap mempertahankan kredensialnya, mereka diizinkan melanjutkan serangan hingga awal Desember 2025, ketika rotasi kata sandi akhirnya menghentikan penyusupan.
Serangan tersebut tidak melibatkan kode Notepad++ dengan cara apa pun. Sebaliknya, mereka menggunakan akses server untuk mengirimkan patch yang tercemar ke target yang dipilih dengan cermat. Menurut para penyelidik, para penyerang, yang kemungkinan besar disponsori oleh negara Tiongkok, terlibat dalam penargetan yang “sangat selektif”.
“Penyerang secara khusus menargetkan domain Notepad++ dengan tujuan mengeksploitasi kontrol verifikasi pembaruan yang tidak mencukupi yang ada di versi Notepad++ yang lebih lama,” demikian bunyi pemberitahuan tersebut. “Semua remediasi dan penguatan keamanan diselesaikan oleh penyedia pada tanggal 2 Desember 2025, berhasil memblokir aktivitas penyerang lebih lanjut.”
Tidak diketahui kelompok mana yang berada di balik serangan ini dan siapa yang menjadi sasarannya. Namun, Notepad++ bermigrasi ke penyedia hosting baru, dan pembarunya sendiri telah diperbarui ke v8.8.9 untuk memverifikasi sertifikat dan tanda tangan penginstal unduhan. Selain itu, XML yang dikembalikan oleh server pembaruan kini telah ditandatangani juga, dan verifikasi sertifikat & tanda tangan akan diberlakukan mulai v8.9.2 mendatang, diperkirakan dalam waktu sekitar satu bulan.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
