Kaspersky bongkar serangan rantai pasokan Notepad++

JAKARTA (IndoTelko) - Tim Global Research and Analysis Team (GReAT) dari Kaspersky mengungkap adanya kampanye serangan rantai pasokan (supply chain attack) tersembunyi yang memanfaatkan infrastruktur pembaruan Notepad++. Serangan ini diketahui menyasar sejumlah target sensitif, mulai dari instansi pemerintah hingga lembaga keuangan di beberapa negara.

Berdasarkan hasil riset, penyerang menargetkan organisasi pemerintahan di Filipina, institusi keuangan di El Salvador, penyedia layanan TI di Vietnam, serta sejumlah individu di tiga negara lainnya. Serangan dilakukan melalui sedikitnya tiga rantai infeksi berbeda, dua di antaranya belum pernah dipublikasikan sebelumnya.

Kaspersky mencatat bahwa para pelaku secara agresif mengganti malware, infrastruktur command and control (C2), serta metode distribusi hampir setiap bulan selama periode Juli hingga Oktober 2025. Rantai serangan yang sebelumnya terungkap ke publik hanya merepresentasikan fase akhir dari kampanye yang jauh lebih panjang dan kompleks.

Pengembang Notepad++ sendiri mengonfirmasi pada 2 Februari 2026 bahwa sistem pembaruan mereka telah dikompromikan akibat insiden pada penyedia layanan hosting. Namun, laporan publik sebelumnya hanya menyoroti malware yang terdeteksi pada Oktober 2025, sehingga banyak organisasi tidak menyadari adanya indikator kompromi berbeda yang telah digunakan sejak Juli hingga September 2025.

Dalam setiap fase, penyerang memanfaatkan alamat IP berbahaya, domain, teknik eksekusi, serta muatan malware yang berbeda-beda. Kaspersky memastikan bahwa seluruh upaya serangan yang teridentifikasi berhasil diblokir oleh solusi keamanannya pada saat kejadian.

Peneliti Keamanan Senior Kaspersky GReAT, Georgy Kucherin, mengingatkan agar organisasi tidak merasa aman hanya karena tidak menemukan indikator kompromi yang telah dipublikasikan sebelumnya. “Infrastruktur yang digunakan pada periode Juli hingga September sepenuhnya berbeda, mulai dari IP, domain, hingga hash file. Dengan pola rotasi alat yang sangat cepat, tidak menutup kemungkinan masih ada rantai serangan lain yang belum teridentifikasi,” ujarnya.

Sebagai bagian dari pengungkapan ini, GReAT telah merilis daftar lengkap indikator kompromi (IoC), termasuk enam hash pembaruan berbahaya, 14 URL C2, serta delapan hash file berbahaya yang sebelumnya belum dilaporkan. Seluruh analisis teknis dan daftar IoC tersedia melalui laman Securelist.

Sebagai informasi, Global Research and Analysis Team (GReAT) merupakan unit riset inti Kaspersky yang berdiri sejak 2008. Tim ini berfokus pada pengungkapan advanced persistent threat (APT), kampanye spionase siber, ransomware, serta tren kejahatan siber global, dengan lebih dari 35 pakar yang beroperasi di berbagai kawasan dunia. (mas)