Notepad++ Perbaiki Celah Keamanan yang Memungkinkan Penyebaran Update Berbahaya
Pengembang Notepad++ merilis versi 8.8.9 untuk menutup celah keamanan serius pada mekanisme pembaruan WinGUp setelah muncul laporan bahwa alat pembaruan tersebut sempat mengunduh file eksekusi berbahaya alih-alih paket update resmi.
Indikasi awal masalah ini muncul dari forum komunitas Notepad++, ketika seorang pengguna melaporkan bahwa proses pembaruan memunculkan file mencurigakan bernama AutoUpdater.exe di direktori sementara sistem. File tersebut diketahui menjalankan serangkaian perintah untuk mengumpulkan informasi perangkat, termasuk detail jaringan, sistem operasi, daftar proses aktif, hingga identitas pengguna.
Hasil pengumpulan data tersebut kemudian disimpan dalam sebuah file teks dan dikirim keluar sistem menggunakan perintah bawaan Windows. Temuan ini memicu kekhawatiran karena perilaku tersebut tidak sesuai dengan fungsi normal WinGUp, yang menggunakan pustaka internal untuk mengunduh pembaruan dan tidak melakukan aktivitas pengintaian sistem.
Sejumlah pengguna menduga insiden ini disebabkan oleh instalasi Notepad++ versi tidak resmi yang telah dimodifikasi, atau adanya pembajakan lalu lintas jaringan saat proses pembaruan berlangsung. Untuk mengurangi risiko tersebut, pengembang Notepad++ sebelumnya merilis versi 8.8.8 pada November, yang membatasi sumber unduhan pembaruan hanya dari repositori resmi GitHub.
Sebagai langkah pengamanan yang lebih kuat, versi 8.8.9 dirilis pada awal Desember dengan mekanisme verifikasi tambahan. Mulai versi ini, Notepad++ dan WinGUp akan memeriksa tanda tangan digital serta sertifikat pada setiap installer yang diunduh. Jika proses verifikasi gagal, pembaruan akan langsung dibatalkan sehingga file yang tidak sah tidak dapat dijalankan.
Isu ini semakin mendapat perhatian setelah pakar keamanan melaporkan adanya beberapa organisasi yang mengalami insiden keamanan pada sistem dengan Notepad++ terpasang. Aktivitas tersebut disebut bersifat sangat terarah, dengan indikasi pelaku melakukan pengintaian langsung setelah mendapatkan akses awal.
Dalam proses normalnya, Notepad++ memeriksa pembaruan dengan mengambil informasi versi terbaru dari server resmi, yang kemudian mengarahkan aplikasi ke lokasi unduhan installer. Jika lalu lintas ini berhasil dicegat dan dimodifikasi, penyerang berpotensi mengarahkan proses pembaruan ke file berbahaya yang memberikan akses jarak jauh ke sistem korban.
Meski demikian, pihak pengembang menyatakan bahwa penyelidikan terkait metode pembajakan lalu lintas masih berlangsung. Mereka menegaskan bahwa seluruh pengguna disarankan segera memperbarui Notepad++ ke versi 8.8.9 untuk memastikan perlindungan maksimal. Pengembang juga mengingatkan bahwa sejak versi 8.8.7, seluruh installer resmi telah ditandatangani dengan sertifikat valid, dan pengguna yang pernah memasang sertifikat root khusus disarankan untuk menghapusnya.
