Kaspersky Global Research and Analysis Team (GReAT) mengungkap serangan kompromi rantai pasokan yang melibatkan Notepad++ ternyata menargetkan lebih banyak korban dan berlangsung lebih lama dari yang sebelumnya diketahui publik.
Menurut temuan Kaspersky, penyerang menyasar organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan TI di Vietnam, serta sejumlah individu di tiga negara. Kampanye ini menggunakan setidaknya tiga rantai infeksi berbeda, dengan dua di antaranya belum pernah dilaporkan sebelumnya.
Para penyerang disebut rutin mengganti malware, infrastruktur command and control (C2), serta metode distribusi hampir setiap bulan, antara Juli hingga Oktober 2025. Kaspersky menilai rantai serangan yang sempat terdokumentasi secara publik hanya merupakan fase terakhir dari operasi yang jauh lebih panjang dan kompleks.
Pengembang Notepad++ sendiri baru mengungkap pada 2 Februari 2026 bahwa infrastruktur pembaruan mereka telah dikompromikan akibat insiden pada penyedia hosting. Sebelumnya, laporan publik hanya menyoroti malware yang diamati pada Oktober 2025, sehingga banyak organisasi tidak menyadari adanya indikator kompromi berbeda yang digunakan sejak Juli hingga September.
Kaspersky menjelaskan setiap rantai serangan memakai alamat IP berbahaya, domain, metode eksekusi, dan muatan malware yang berbeda-beda. Solusi keamanan Kaspersky disebut berhasil memblokir seluruh serangan yang teridentifikasi saat terjadi.
Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT, memperingatkan organisasi tidak boleh merasa aman hanya karena tidak menemukan indikator kompromi yang sudah beredar.
"Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman," kata Kucherin, dalam keterangan yang diterima detikINET.
Ia menekankan infrastruktur serangan pada Juli-September sepenuhnya berbeda, mulai dari IP, domain, hingga hash file. Dengan rotasi alat yang begitu cepat, Kaspersky tidak menutup kemungkinan masih ada rantai tambahan yang belum ditemukan.
Untuk membantu mitigasi, Kaspersky menerbitkan daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL C2, serta delapan hash file berbahaya yang sebelumnya belum dilaporkan. Analisis teknis lengkap tersedia melalui Securelist.
Simak Video "Video: Hati-hati! Ini Tandanya Jika Akun Gmail Sudah Diretas"
(asj/asj)