Pengembang Notepad++ mengonfirmasi bahwa fitur pembaruan aplikasi mereka telah dibajak oleh aktor ancaman yang diduga kuat merupakan kelompok peretas yang disponsori negara China. Serangan ini berlangsung hampir setengah tahun dan menargetkan sebagian kecil pengguna melalui mekanisme pembaruan perangkat lunak.
Dalam pengumuman resminya, pengembang menjelaskan bahwa penyerang berhasil mencegat lalu lintas pembaruan Notepad++ dan secara selektif mengalihkan permintaan update dari pengguna tertentu ke server berbahaya. Melalui celah keamanan pada proses verifikasi update versi lama, pelaku dapat menyajikan berkas pembaruan yang telah dimanipulasi.
Penyedia layanan hosting yang menangani sistem pembaruan Notepad++ menyatakan bahwa log internal menunjukkan server yang menjalankan aplikasi update telah dikompromikan. Tim forensik keamanan eksternal yang terlibat dalam investigasi menemukan bahwa serangan ini telah dimulai sejak Juni 2025.
Serangan Sangat Selektif dan Terarah
Menurut pengembang, ruang lingkup serangan ini tergolong sempit dan sangat terarah. Tidak semua pengguna terdampak, melainkan hanya target tertentu yang lalu lintas pembaruannya dialihkan ke infrastruktur milik penyerang. Beberapa peneliti keamanan independen menilai bahwa pola seleksi target yang sangat spesifik ini mengarah pada keterlibatan kelompok peretas yang disponsori negara.
Dalam pernyataannya, pengembang menyebutkan bahwa para penyerang secara khusus menargetkan domain Notepad++ dengan mengeksploitasi kontrol verifikasi pembaruan yang belum memadai pada versi lama aplikasi tersebut.
Celah pada WinGUp dan Perbaikan Keamanan
Pada Desember 2025, Notepad++ merilis versi 8.8.9 untuk menutup celah keamanan pada komponen WinGUp, yaitu alat pembaruan bawaan aplikasi. Perbaikan ini dilakukan setelah beberapa peneliti melaporkan bahwa sistem updater dapat menerima paket berbahaya alih-alih pembaruan resmi.
Seorang peneliti keamanan sebelumnya juga mengungkap bahwa setidaknya tiga organisasi terdampak oleh pembajakan update ini, yang kemudian diikuti dengan aktivitas pengintaian langsung di jaringan internal mereka.
Notepad++ sendiri merupakan editor teks dan kode sumber bersifat gratis dan open-source yang sangat populer di sistem Windows, dengan basis pengguna mencapai puluhan juta orang di seluruh dunia.
Kronologi Insiden dan Akses Berulang
Investigasi internal mengungkap bahwa serangan terjadi setelah penyedia hosting Notepad++ dikompromikan pada Juni 2025. Akses penyerang sempat terputus sementara pada awal September ketika kernel dan firmware server diperbarui.
Namun, pelaku berhasil mendapatkan kembali akses menggunakan kredensial layanan internal yang sebelumnya telah dicuri dan belum diganti. Aktivitas berbahaya ini baru benar-benar dihentikan pada 2 Desember 2025, ketika penyedia hosting akhirnya mendeteksi pelanggaran dan memutus akses penyerang sepenuhnya.
Sebagai respons, Notepad++ memigrasikan seluruh infrastruktur ke penyedia hosting baru dengan standar keamanan lebih tinggi, mengganti seluruh kredensial yang berpotensi bocor, memperbaiki celah yang dieksploitasi, serta melakukan analisis log secara menyeluruh untuk memastikan aktivitas berbahaya telah berhenti.
Dugaan Keterlibatan APT dan Malware Canggih
Meski pengembang menyatakan tidak menemukan indikator kompromi yang dapat dibagikan kepada publik, peneliti dari Rapid7 mengaitkan kampanye ini dengan kelompok APT asal China yang dikenal dengan nama Lotus Blossom. Kelompok tersebut dilaporkan menggunakan sebuah backdoor kustom yang sebelumnya belum terdokumentasi dan diberi nama Chrysalis.
Berdasarkan kemampuan malware tersebut, para peneliti menilai Chrysalis sebagai alat canggih yang dirancang untuk bertahan lama di sistem korban. Namun, analisis teknis sejauh ini belum menemukan bukti artefak yang secara pasti mengonfirmasi eksploitasi mekanisme updater Notepad++.
Perilaku yang terkonfirmasi menunjukkan bahwa eksekusi file notepad++.exe dan GUP.exe terjadi sebelum proses mencurigakan bernama update.exe dijalankan.
Langkah Pengamanan bagi Pengguna
Sebagai langkah pencegahan, pengguna Notepad++ disarankan untuk mengganti kredensial penting seperti SSH, FTP atau SFTP, serta MySQL. Selain itu, administrator sistem juga dianjurkan meninjau akun admin WordPress, mereset kata sandi, menghapus akun yang tidak diperlukan, serta memperbarui inti WordPress, plugin, dan tema ke versi terbaru.
Mulai versi 8.8.9, WinGUp telah dilengkapi dengan verifikasi sertifikat dan tanda tangan installer, serta file XML pembaruan yang ditandatangani secara kriptografis. Pengembang juga berencana menerapkan verifikasi tanda tangan sertifikat secara wajib pada versi 8.9.2 yang dijadwalkan rilis dalam waktu dekat.
Insiden ini menjadi pengingat bahwa rantai pasok perangkat lunak tetap menjadi target bernilai tinggi bagi aktor ancaman tingkat lanjut, bahkan pada proyek open-source yang banyak digunakan secara global.