Serangan siber lewat Notepad++: jejak panjang dan apa yang perlu diperiksa
Serangan siber lewat Notepad++ terungkap lebih luas: peretas mengganti malware, server, dan metode sejak Juli–Okt; Kaspersky rilis indikator kompromi untuk pemeriksaan.
Serangan siber lewat Notepad++ ternyata lebih luas dan berlangsung lebih lama daripada yang sempat terungkap sebelumnya. Peneliti keamanan menemukan pola serangan yang mulai terlihat sejak pertengahan tahun, bukan hanya insiden tunggal di bulan Oktober.
Mekanisme serangan dan adaptasi peretas
Para penyerang mengubah taktiknya hampir setiap bulan antara Juli hingga Oktober 2025. Perubahan ini mencakup jenis malware yang dipakai, server pengendali yang digunakan untuk instruksi (komputer pengendali), serta cara masuk ke perangkat korban. Tujuannya adalah menghindari deteksi oleh sistem keamanan konvensional.
Perubahan berulang pada komponen serangan membuat setiap gelombang meninggalkan jejak digital yang berbeda, misalnya alamat internet yang dipakai untuk mengirim perintah dan tipe file berbahaya yang disisipkan. Variasi seperti ini menyulitkan upaya pendeteksian otomatis yang biasanya mengandalkan pola tetap.
Apa yang ditemukan peneliti dan dampaknya
Hasil analisis memperlihatkan bahwa insiden yang sempat viral adalah puncak dari rangkaian aksi yang lebih rumit. Banyak organisasi besar jadi target, termasuk kantor pemerintahan, lembaga keuangan, dan perusahaan teknologi di beberapa wilayah. Selain itu, individu juga tercatat menjadi sasaran.
Pihak pengembang Notepad++ mendeteksi masalah pada mekanisme pembaruan aplikasi pada awal Februari 2026, yang berawal dari gangguan pada layanan pusat data yang digunakan. Karena laporan awal fokus pada satu insiden, ada kemungkinan banyak sistem sudah terpengaruh lebih lama tanpa disadari.
Sebagian serangan berhasil diblokir oleh solusi keamanan yang aktif memantau dan menghalau upaya masuk. Namun para pakar menekankan agar tidak cepat merasa aman hanya karena tidak menemukan tanda-tanda yang sudah viral; serangan sebelumnya memakai jalur dan identitas yang berbeda sehingga masih mungkin ada teknik lain yang belum teridentifikasi.
Apa yang dirilis peneliti dan langkah pemeriksaan
Untuk membantu pemeriksaan, tim peneliti merilis daftar ciri file dan alamat internet yang berbahaya terkait kampanye ini. Daftar tersebut berfungsi sebagai indikator kompromi: petunjuk teknis yang memungkinkan tim keamanan memeriksa apakah sistem mereka pernah menjadi sasaran atau sudah terinfeksi.
Informasi yang dirilis biasanya mencakup nama file berbahaya, pola koneksi jaringan yang mencurigakan, dan alamat server yang pernah dipakai penyerang. Bagi tim keamanan siber, data semacam ini penting untuk melakukan pemeriksaan mendalam dan menutup celah yang mungkin masih dimanfaatkan.
Unit peneliti yang menemukan kasus ini adalah tim khusus di bawah penyedia layanan keamanan yang fokus membongkar operasi siber skala besar. Tim ini terdiri dari banyak analis yang memantau pergerakan peretas profesional dan merekonstruksi rantai serangan dari bukti digital yang ditemukan.
Pengguna dan organisasi disarankan agar bekerja sama dengan tim keamanan internal atau penyedia keamanan untuk memeriksa indikator kompromi yang dipublikasikan. Selain itu, memastikan mekanisme pembaruan perangkat lunak berjalan aman dan diverifikasi merupakan langkah penting untuk mengurangi risiko pemasangan paket berbahaya lewat saluran resmi.
Ringkasnya, serangan lewat Notepad++ menunjukkan karakter operasi yang adaptif dan berlapis. Pemahaman terhadap indikator teknis yang dirilis menjadi alat utama untuk memastikan apakah sebuah sistem pernah terdampak dan untuk menutup celah sebelum serangan serupa berkembang lagi.
