Notepad++ Dibajak oleh Peretas yang Didukung Negara

 (notepad-plus-plus.org)
2 poin oleh GN⁺ 2026-02-03 | 1 komentar | Bagikan ke WhatsApp
  • Terjadi insiden pelanggaran keamanan di mana trafik pembaruan situs web resmi Notepad++ dialihkan ke server penyerang
  • Serangan dilakukan melalui kompromi pada tingkat infrastruktur penyedia hosting, bukan karena kerentanan pada kode Notepad++ itu sendiri
  • Serangan berlangsung dari Juni 2025 hingga 2 Desember, dan beberapa peneliti keamanan menilai pelakunya sebagai kelompok peretas yang didukung pemerintah Tiongkok
  • Penyerang menargetkan Notepad++ versi lama yang memiliki prosedur verifikasi pembaruan yang lemah untuk mendistribusikan pembaruan berbahaya
  • Setelah itu, keamanan diperkuat melalui migrasi situs web, penguatan verifikasi sertifikat dan tanda tangan, serta penerapan tanda tangan XML

Ringkasan insiden

  • Setelah pengumuman keamanan (rilis v8.8.9), investigasi dilakukan bersama para ahli eksternal dan penyedia hosting sebelumnya
  • Hasil analisis menunjukkan penyerang melakukan kompromi tingkat infrastruktur yang memungkinkan mereka mencegat dan mengalihkan trafik pembaruan yang menuju notepad-plus-plus.org
  • Kompromi terjadi pada server penyedia hosting, bukan pada kode Notepad++
  • Hanya trafik pengguna tertentu yang secara selektif dialihkan ke server penyerang untuk menyajikan manifest pembaruan berbahaya

Waktu serangan dan pelaku

  • Serangan dimulai pada Juni 2025
  • Beberapa peneliti keamanan independen memperkirakan pelakunya adalah kelompok peretas yang didukung pemerintah Tiongkok
  • Ciri khasnya adalah serangan dilakukan secara sangat terbatas dan selektif

Hasil investigasi penyedia hosting

  • Penyedia mengonfirmasi bahwa server telah dikompromikan hingga 2 September 2025
    • Pada tanggal tersebut dilakukan pembaruan kernel dan firmware, dan pola serupa menghilang dari log setelahnya
  • Penyerang tetap mempertahankan kredensial layanan internal hingga 2 Desember, sehingga masih dapat mengalihkan sebagian trafik
  • Hasil analisis log menunjukkan pelanggan lain tidak menjadi target, dan hanya domain Notepad++ yang dibidik
  • Setelah 2 Desember
    • Perbaikan kerentanan dan penggantian kredensial telah selesai
    • Tidak ada jejak kompromi serupa di server lain
  • Pelanggan disarankan untuk mengganti kata sandi SSH, FTP/SFTP, MySQL, dan memeriksa akun administrator WordPress

Ringkasan singkat (TL;DR)

  • Server shared hosting dikompromikan hingga 2 September 2025, lalu penyerang mempertahankan kredensial internal hingga 2 Desember
  • Penyerang mengeksploitasi kelemahan verifikasi pembaruan Notepad++ untuk mendistribusikan pembaruan berbahaya
  • Semua langkah penguatan keamanan selesai setelah 2 Desember, sehingga serangan lanjutan berhasil diblokir

Respons dan penguatan keamanan

  • Situs web Notepad++ dipindahkan ke penyedia hosting baru dengan tingkat keamanan lebih tinggi
  • Alat pembaruan internal Notepad++, WinGup, mulai v8.8.9
    • Menambahkan verifikasi sertifikat dan tanda tangan pada file installer yang diunduh
    • Menerapkan tanda tangan XMLDSig pada respons XML dari server pembaruan
    • Mulai v8.9.2, verifikasi sertifikat dan tanda tangan akan diberlakukan secara wajib
  • Pengguna disarankan untuk menginstal v8.9.1 secara manual

Informasi tambahan dan batasan investigasi

  • Indicator of Compromise (IoC) tidak berhasil diperoleh
    • Sekitar 400GB log server telah dianalisis, tetapi tidak ada IoC spesifik seperti hash biner, domain, atau IP
    • Permintaan IoC juga diajukan ke penyedia hosting, namun tidak diberikan
  • Ivan Feigl dari Rapid7 membagikan hasil investigasi terpisah dan memiliki IoC yang lebih spesifik

Kesimpulan

  • Serangan ini berupa manipulasi pembaruan tertarget melalui kompromi infrastruktur hosting
  • Masalah telah diselesaikan melalui penguatan keamanan dan migrasi server
  • Notepad++ sedang mendorong pencegahan serangan serupa di masa depan dengan memperkuat sistem verifikasi pembaruan

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-03
Pendapat Hacker News

  • Saya merasa cukup aman dari masalah seperti ini berkat kebiasaan firewall memblokir akses internet untuk program jika memang tidak benar-benar diperlukan
    Tidak ada alasan sama sekali editor teks perlu mengakses internet
    Saya hanya melakukan update lewat winget, dan kebanyakan mengambil installer dari GitHub. Setahu saya perubahan paket hanya bisa dilakukan lewat PR. Tidak sempurna, tapi cukup saya percaya

    • Pengecekan update atau unduhan plugin menurut saya adalah pengecualian yang memang perlu akses internet
    • Di macOS, Little Snitch sangat berguna. Ia langsung memberi tahu IP atau domain mana yang sedang dihubungi, dan memudahkan untuk mengizinkan, memblokir, atau membuat aturan
    • Saya penasaran software firewall apa yang dipakai. Saya juga mulai merasa sekarang saatnya memakai firewall

  • Saya menunda update dan masih memakai versi 8.5.8, jadi saya jadi bertanya-tanya apakah hasilnya justru saya berada dalam posisi yang lebih aman
    Saya berharap ada informasi yang lebih spesifik tentang apa yang sebenarnya terjadi pada orang-orang yang menerima update terinfeksi
    Akan membantu kalau ada alat untuk memverifikasi checksum file Notepad++ yang terpasang
    Selain itu, pengumumannya penuh salah ketik, jadi saya jadi curiga jangan-jangan ini benar-benar ditulis oleh peretas yang didukung negara. Jangan-jangan versi baru malah berbahaya?

    • Ini mengingatkan saya pada masa kuliah ketika dosen memberi tugas yang penuh bug. Jadi saya selalu menunggu sampai orang lain mencobanya dulu dan bilang aman
      Akan bagus kalau ada sistem web of trust di mana teman-teman lebih dulu menguji update, lalu kita bisa mempercayai hasilnya
    • Saya tidak menganggap versi terbaru selalu lebih aman. Selama tidak ada kerentanan yang diketahui, versi lama justru sering lebih stabil
    • Menurut situs resmi Notepad++, insiden ini dimulai sejak Juni 2025
      Versi 8.8.1 ke bawah disebut aman. Checksum SHA256 untuk tiap versi dipublikasikan di GitHub
    • Versi lama tidak selalu buruk. Update justru bisa menurunkan kualitas
      Lebih penting meninjau kode sendiri daripada menyalakan update otomatis
    • Kecuali untuk aplikasi yang memang terhubung langsung ke internet (mail, browser, OS, dsb.), saya mematikan update otomatis
      Menurut saya kemungkinan aplikasi acak terkena update berbahaya jauh lebih besar. Saya hanya update manual sesekali

  • Berkat memakai Chocolatey, saya terhindar dari serangan ini
    Maintainer-nya meng-hardcode checksum SHA256 dan sama sekali tidak memakai WinGuP

  • Dalam situasi seperti ini, kelebihan package manager jadi terlihat
    Karena kita tidak tahu apakah server update aman atau apakah checksum benar-benar diverifikasi, saya tidak percaya fitur update bawaan
    Sebagai gantinya saya mengelola semuanya dengan choco update notepadplusplus atau winget upgrade Notepad++.Notepad++

  • Mungkin insiden ini terkait dengan pengumuman Notepad++ tentang Taiwan

    • Notepad++ sejak dulu memasukkan pesan politik ke dalam update. Mereka pernah menyatakan sikap soal Taiwan, Ukraina, dan lain-lain
    • Dulu juga ada Free Uyghur Edition. Saya ingat issue GitHub waktu itu dibanjiri komentar berbahasa Mandarin
    • Serangan kali ini tampaknya bukan menargetkan pengembang, melainkan kelompok pengguna tertentu
    • Saya rasa memasukkan diskusi politik ke dokumentasi proyek open source itu tidak tepat. Itu memang kebebasan penulis, tapi bisa merugikan proyeknya
    • Saya memang menganggap sikap Tiongkok daratan yang ingin menyatukan Taiwan secara paksa itu bermasalah
      Tapi menurut saya software harus dipisahkan dari politik. Sekalipun setuju dengan tujuan politiknya, mencampurkannya ke dalam kode tetap tidak perlu

  • Tool umum yang dipelihara tim kecil selalu terasa mengkhawatirkan
    Bahkan jika hanya sebagian instalasi yang diretas, serangan supply chain bisa membahayakan sangat banyak perusahaan

    • Jika Anda pengguna macOS, saya rasa wajib memakai Little Snitch
      Lalu lintas juga bisa dianalisis langsung dengan tool seperti Wireshark atau Burp Suite
      Firewall seperti ini juga memungkinkan di Windows maupun Linux
    • Fitur update otomatis terasa rapuh dari sisi keamanan. Untuk mengimplementasikannya dengan benar perlu upaya engineering besar, dan kebanyakan perusahaan tidak melakukannya
    • Perusahaan besar juga bukan berarti kebal terhadap serangan seperti ini. Kalau lengah, hasilnya sama saja

  • Katanya lalu lintas pengguna tertentu dialihkan ke server penyerang sehingga mereka menerima manifest update berbahaya
    Saya penasaran pengguna seperti apa yang dijadikan target, tapi tulisan itu hanya menyebut dugaan peretas yang didukung pemerintah Tiongkok

    • Mungkin target utamanya adalah IP universitas, perusahaan, dan lembaga pemerintah
    • Bisa jadi hanya pengguna tertentu yang rentan karena prosedur verifikasi update pada beberapa versi lama Notepad++ kurang memadai
    • Saya tidak tahu siapa yang membobol servernya. Pada akhirnya kalau semua dilempar ke “aktor negara”, tidak ada yang benar-benar memverifikasi

  • Saya penasaran bagaimana sebenarnya sistem target itu sampai dikompromikan

    • Detailnya ada di artikel Heise dan analisis DoublePulsar
      Versi sebelum 8.8.7 memakai sertifikat self-signed, dan kuncinya sempat terekspos di GitHub
      Serangan ini adalah serangan intrusi manual yang hanya menargetkan sebagian pengguna di kawasan Asia
      Menurut saya pengembang juga punya tanggung jawab, bukan cuma penyedia hosting
    • Serangan supply chain memang benar-benar menakutkan. Saya juga sering membuka file sensitif di Notepad++, jadi khawatir apakah ada yang bocor
    • Kemungkinan besar mereka mencoba menanam backdoor lalu melakukan pemantauan atau pencurian data melalui update
    • Masih belum jelas siapa yang dijadikan target. Pernyataan resminya terlalu samar

  • Pada akhirnya pertanyaannya jadi, “Lalu saya harus bagaimana dengan Notepad++?”

    • Jika Anda memakai package manager, kemungkinan besar tidak terdampak oleh serangan ini. Tapi kalau installer-nya sendiri terinfeksi, tetap saja berisiko
    • Sebagai alternatif, saya merekomendasikan Kate dari KDE. Bisa dipasang lewat Chocolatey
    • Secara pribadi saya juga merasa Gedit adalah pilihan bagus yang kurang dihargai

  • Saya biasanya langsung mematikan fitur pengecekan update begitu memasang software baru
    Walaupun serangan seperti ini jarang, saya merasa permintaan update tetap mengekspos sidik jari perangkat dan informasi lokasi komputer saya

    • Saya benar-benar tidak paham. Kerentanan eksekusi kode jarak jauh pada akhirnya muncul ketika “software diizinkan mengambil dan menjalankan kode dari jarak jauh”
    • Tentu saja, kalau tingkat pengawasannya seperti Room 641A, seberhati-hati apa pun akan sulit menghindarinya sepenuhnya
      Penting menjaga keamanan pada tingkat yang realistis lewat threat modeling
    • Kalau begitu, sebaliknya, bagaimana mengelola paparan kerentanan yang timbul karena tidak melakukan update?