Perusahaan keamanan siber Kaspersky telah mengungkap jaringan serangan siber tersembunyi dalam rantai pasokan aplikasi Notepad++. Para peneliti dari Kaspersky Global Research and Analysis Team (GReAT) menemukan bahwa penyerang di balik kompromi rantai pasokan Notepad++ menargetkan sebuah organisasi pemerintahan di Filipina, sebuah lembaga keuangan di El Salvador, sebuah penyedia layanan TI di Vietnam, dan individu di tiga negara. Serangan ini menggunakan setidaknya tiga rantai infeksi yang berbeda, dengan dua di antaranya masih belum diketahui oleh publik. Penyerang sepenuhnya mengubah malware, infrastruktur perintah dan kontrol, serta metode pengiriman mereka sekitar setiap bulan antara Juli dan Oktober 2025.
Rantai serangan tunggal yang diungkapkan secara publik hingga saat ini hanya merupakan fase terakhir dari kampanye yang lebih luas dan canggih. Para pengembang Notepad++ mengungkapkan bahwa infrastruktur pembaruan mereka telah dikompromikan karena insiden penyedia hosting. Kaspersky menegaskan bahwa setiap rantai menggunakan alamat IP berbahaya, nama domain, metode eksekusi, dan muatan yang berbeda, tetapi solusi keamanan Kaspersky berhasil memblokir semua serangan yang teridentifikasi.
Pernyataan Notepad++ menyebutkan bahwa insiden ini dimulai pada Juni 2025 dan dugaan aktor ancaman kemungkinan merupakan kelompok yang didukung oleh negara China. Notepad++ telah mengambil langkah pencegahan dengan memindahkan hosting web klien ke server baru setelah menemukan kejanggalan dalam log mereka. Mereka juga menemukan bahwa pelaku mempertahankan kredensial layanan internal mereka hingga Desember 2025, yang memungkinkan mereka untuk mengalihkan lalu lintas ke server mereka sendiri.
Notepad++ menegaskan bahwa tidak ada klien lain yang menjadi target selain domain mereka, dan setelah mengidentifikasi kerentanan dan menerapkan perbaikan, tidak ada upaya kembali memanfaatkan kerentanan yang berhasil. Mereka juga telah mengganti semua kredensial yang mungkin diperoleh oleh pelaku jahat. Notepad++ menganjurkan pengguna untuk memeriksa akun administrator, mengubah kata sandi, dan mengupdate plugin, tema, dan versi inti WordPress secara teratur.Ini merupakan tindakan pencegahan yang dapat diambil untuk mengamankan akses ke situs web dan melindungi dari serangan siber tidak diinginkan.
