Kaspersky Ungkap Rantai Serangan Tersembunyi di Rantai Pasokan Notepad++, Sasar Pemerintah hingga Sektor Keuangan
Kaspersky mengungkap serangan tersembunyi di rantai pasokan Notepad++, menargetkan pemerintah dan sektor keuangan dengan metode yang terus berubah.
Serangan siber pada Notepad++. dok, Kaspersky
Peneliti Kaspersky dari Global Research and Analysis Team (GReAT) mengungkap rangkaian serangan siber tersembunyi dalam insiden kompromi rantai pasokan Notepad++.
Temuan ini menunjukkan kampanye yang jauh lebih panjang dan kompleks dari yang selama ini diketahui publik, dengan target mencakup organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan teknologi informasi di Vietnam, serta individu di tiga negara lainnya.
Penelitian Kaspersky mengidentifikasi sedikitnya tiga rantai infeksi berbeda, dua di antaranya belum pernah dilaporkan sebelumnya.
Para penyerang diketahui merombak total malware, infrastruktur command and control (C2), serta metode distribusi hampir setiap bulan sepanjang Juli hingga Oktober 2025.
- Studi Kaspersky: 100% Perusahaan di Indonesia Siap Terapkan AI dalam Operasi Keamanan
- Kaspersky Ungkap Modus Penipuan Baru Manfaatkan Undangan Tim OpenAI
- 58 Persen Perusahaan di Indonesia Bangun SOC, Keamanan Siber Tetap Bertumpu pada Keahlian Manusia
- Serangan Siber di 2026 Diprediksi Makin Kompleks dengan Libatkan Ancaman Berbasis AI
Rantai serangan yang sebelumnya terungkap ke publik ternyata hanya merepresentasikan fase akhir dari kampanye yang berlangsung lama dan terencana.
Pengembang Notepad++ sendiri mengumumkan pada 2 Februari 2026 infrastruktur pembaruan mereka telah dikompromikan akibat insiden pada penyedia hosting.
Namun, laporan publik sebelumnya cenderung berfokus pada malware yang terdeteksi pada Oktober 2025. Akibatnya, banyak organisasi tidak menyadari adanya indikator kompromi yang sama sekali berbeda yang digunakan penyerang pada periode Juli hingga September.
Setiap rantai serangan memanfaatkan alamat IP berbahaya, nama domain, metode eksekusi, serta muatan malware yang berbeda-beda.
Meski demikian, Kaspersky menyatakan seluruh serangan yang teridentifikasi berhasil diblokir oleh solusi keamanannya saat terjadi.
“Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman,” ujar Georgy Kucherin, peneliti keamanan senior Kaspersky GReAT.
Ia menegaskan infrastruktur yang digunakan pada Juli–September sepenuhnya berbeda, mulai dari IP, domain, hingga hash file.
“Mengingat seberapa sering penyerang merotasi alat mereka, kami tidak dapat mengesampingkan kemungkinan adanya rantai tambahan yang belum ditemukan,” tambahnya.
Sebagai langkah mitigasi, tim GReAT telah merilis daftar lengkap indikator kompromi (Indicators of Compromise/IoC), termasuk enam hash pembaruan berbahaya, 14 URL C2, serta delapan hash file berbahaya yang sebelumnya belum dilaporkan.
Analisis teknis dan daftar IoC lengkap dipublikasikan melalui Securelist agar dapat digunakan organisasi untuk melakukan pemeriksaan dan penguatan sistem.
Temuan ini kembali menegaskan risiko serius dari serangan rantai pasokan perangkat lunak, di mana pembaruan resmi dapat dimanfaatkan sebagai vektor distribusi malware.
Kaspersky mengimbau organisasi untuk tidak hanya bergantung pada indikator yang telah diketahui publik, tetapi juga memperkuat pemantauan berkelanjutan dan praktik keamanan berlapis guna mengantisipasi evolusi ancaman yang semakin cepat dan tersembunyi.
