Analisis serangan supply chain Notepad++

(securelist.com)

2 poin oleh GN⁺ 2026-02-05 | 1 komentar | Bagikan ke WhatsApp

Serangan supply chain yang mendistribusikan pembaruan berbahaya setelah infrastruktur pembaruan Notepad++ dikompromikan berlangsung dari pertengahan 2025 hingga Oktober
Penyerang mengoperasikan tiga rantai infeksi yang berbeda dengan memanfaatkan Cobalt Strike Beacon dan downloader Metasploit
Target infeksi teridentifikasi mencakup pengguna individu di Vietnam, El Salvador, dan Australia, lembaga pemerintah Filipina, institusi keuangan El Salvador, serta perusahaan layanan TI di Vietnam
Metode serangan berubah-ubah, termasuk penyalahgunaan installer NSIS, eksploitasi kerentanan ProShow, eksekusi skrip Lua, dan DLL sideloading
Kaspersky mendeteksi serangan ini dengan Kaspersky Next EDR Expert dan menyajikan komunikasi temp.sh, jejak eksekusi perintah, serta pendaftaran autorun registry sebagai indikator deteksi utama

Ringkasan insiden

Pada 2 Februari 2026, tim pengembang Notepad++ mengumumkan bahwa server pembaruan telah dikompromikan pada level penyedia hosting
- Periode kompromi berlangsung dari Juni hingga September 2025, dan akses ke layanan internal berlanjut hingga Desember
Kaspersky mengonfirmasi bahwa antara Juli hingga Oktober 2025 penyerang terus mengganti alamat server C2, downloader, dan payload sambil melanjutkan serangan
Korban terbatas pada sejumlah kecil sistem yang menjadi target, dengan analisis menunjukkan sekitar total 10 komputer terinfeksi

Rantai infeksi #1 (akhir Juli hingga awal Agustus 2025)

File pembaruan berbahaya: http://45.76.155[.]202/update/update.exe
- SHA1: 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
Proses sah GUP.exe menjalankan file tersebut dan mengumpulkan informasi sistem lalu mengunggahnya ke temp.sh
- Hasil perintah whoami, tasklist dikirim dengan curl
Setelah itu beberapa file dijatuhkan ke folder %appdata%\ProShow dan ProShow.exe dijalankan
- Kerentanan ProShow dari era 2010-an dieksploitasi untuk menjalankan downloader Metasploit di dalam file load
- Downloader lalu mengambil dan menjalankan Cobalt Strike Beacon dari https://45.77.31[.]210/users/admin
Pada awal Agustus, varian dengan rantai yang sama yang menggunakan domain cdncheck.it[.]com juga diamati

Rantai infeksi #2 (pertengahan hingga akhir September 2025)

update.exe yang didistribusikan dari URL yang sama (SHA1: 573549869e84544e3ef253bdba79851dcde4963a)
- Menggunakan folder %APPDATA%\Adobe\Scripts
- Mengumpulkan informasi sistem secara rinci dengan perintah whoami, tasklist, systeminfo, netstat -ano
File yang dijatuhkan: alien.dll, lua5.1.dll, script.exe, alien.ini
- Menjalankan shellcode dalam alien.ini menggunakan interpreter Lua
- Downloader Metasploit mengunduh Cobalt Strike Beacon dari cdncheck.it[.]com/users/admin
Pada akhir September, muncul varian dengan URL unggah berubah menjadi https://self-dns.it[.]com/list dan server C2 berubah menjadi safe-dns.it[.]com

Rantai infeksi #3 (Oktober 2025)

Server pembaruan baru: http://45.32.144[.]255/update/update.exe
- SHA1: d7ffd7b588880cf61b603346a3557e7cce648c93
File dijatuhkan ke folder %appdata%\Bluetooth\
- BluetoothService.exe (sah), log.dll (berbahaya), BluetoothService (shellcode terenkripsi)
Dengan DLL sideloading, log.dll mengeksekusi shellcode BluetoothService
- Strukturnya mirip dengan backdoor Chrysalis, dan analisis Rapid7 menunjukkan ada kasus di mana Cobalt Strike Beacon juga didistribusikan bersama

Kemunculan kembali rantai #2 dan perubahan URL (pertengahan hingga akhir Oktober 2025)

URL baru: http://95.179.213[.]0/update/update.exe
- Domain self-dns.it[.]com dan safe-dns.it[.]com yang lama digunakan kembali
Pada akhir Oktober, muncul variasi nama file seperti install.exe dan AutoUpdater.exe
- Tidak ada infeksi tambahan yang diamati setelah November

Kesimpulan dan rekomendasi deteksi

Penyerang mengambil alih server pembaruan Notepad++ untuk mencoba menembus organisasi berisiko tinggi
- Mereka mengubah rantai infeksi setiap bulan untuk mempertahankan akses secara berkelanjutan
Rekomendasi deteksi dan respons
- Periksa log pembuatan installer NSIS (%localappdata%\Temp\ns.tmp)
- Deteksi komunikasi ke domain temp.sh dan permintaan yang memasukkan URL di dalam User-Agent
- Tinjau jejak eksekusi perintah whoami, tasklist, systeminfo, netstat -ano
- Telusuri domain berbahaya dan hash file berdasarkan daftar IoC

Deteksi Kaspersky

Kaspersky Next EDR Expert mendeteksi aktivitas serangan
- Aturan lolc2_connection_activity_network mendeteksi komunikasi temp.sh
- Aturan system_owner_user_discovery, system_information_discovery_win, dan lainnya mendeteksi perintah pengintaian lokal
- Aturan temporary_folder_in_registry_autorun mendeteksi pendaftaran autorun registry

Ringkasan IoC utama

URL pembaruan berbahaya:
- http://45.76.155[.]202/update/update.exe, http://45.32.144[.]255/update/update.exe, http://95.179.213[.]0/update/update.exe dan lainnya
URL terkait Cobalt Strike:
- https://45.77.31[.]210/users/admin, https://cdncheck.it[.]com/users/admin, https://safe-dns.it[.]com/help/Get-Start
Path file berbahaya:
- %appdata%\ProShow\load, %appdata%\Adobe\Scripts\alien.ini, %appdata%\Bluetooth\BluetoothService
Hash utama:
- 8e6e505438c21f3d281e1cc257abdbf7223b7f5a, 573549869e84544e3ef253bdba79851dcde4963a, d7ffd7b588880cf61b603346a3557e7cce648c93 dan lainnya

Insiden ini menunjukkan makin canggihnya serangan supply chain dan evolusi rantai infeksi multistage, sekaligus menekankan perlunya penguatan verifikasi integritas pembaruan oleh pengembang dan operator infrastruktur TI.

1 komentar

GN⁺ 2026-02-05

Komentar Hacker News

Kasus program pembaruan WinGUp yang disalahgunakan dalam serangan adalah contoh klasik serangan rantai pasok
Penyerang memperoleh hak eksekusi kode pada sistem yang memercayai kanal pembaruan
Fakta bahwa ini tidak terdeteksi selama 6 bulan sangat mengkhawatirkan
Organisasi perlu mempertimbangkan rollout bertahap dan pemantauan lalu lintas jaringan yang tidak biasa, sementara pengguna individu sebaiknya mempertimbangkan package manager dengan verifikasi kriptografis
- Di Windows, ketiadaan package manager yang terstandarisasi masih menjadi masalah
  Banyak program diunduh dari situs web penuh iklan dan masing-masing diperbarui dengan cara berbeda
  Microsoft Store sempat punya peluang untuk mengubah ini, tetapi gagal baik dari sisi desain maupun reputasi
  WinGet jauh lebih baik, tetapi saat ini masih sebatas alat yang berorientasi pada pengembang
Saya memakai Notepad++ sebagai pengganti Notepad bawaan
Saya tidak mengerti kenapa koneksi jaringan aktif secara default
Hal pertama yang saya lakukan adalah mematikannya, dan sekarang saya masih puas memakai versi 2020
Jika suatu hari perlu, saya berniat memperbarui secara manual sendiri
Notepad++ dulu salah satu editor favorit saya, tetapi setelah serangan ini departemen IT melarang penggunaannya
Saat pemeriksaan keamanan, mereka bahkan mengecek apakah aplikasi itu terpasang
- Kepercayaan sudah benar-benar runtuh
  Respons di blog resmi juga terasa meresahkan, dan sepertinya akan butuh waktu lama untuk memulihkan kepercayaan
- Saya juga berpikir sama
  Dua fitur kuncinya adalah tab dan pemeriksaan ejaan, dan sekarang Notepad bawaan pun sudah mendukung keduanya
  Memang sekarang ada tombol CoPilot, tetapi bisa dimatikan di pengaturan
Karena alasan ini saya menjalankan banyak alat di lingkungan sandbox
Dengan begitu kerusakan dibatasi ke direktori tersebut
Tidak ada alasan alat itu perlu mengakses cloud drive atau cookie browser saya
- MacOS memang sering diperdebatkan dari sisi UI, tetapi menurut saya paling unggul dalam hal kontrol izin yang terperinci
  Komunitas Linux menolak pendekatan seperti ini, tetapi pada akhirnya aplikasi sandbox ala iOS adalah masa depan
  Karena pengguna ingin mengendalikan perilaku aplikasi
  Jika kubu FOSS mengabaikannya, pada akhirnya semuanya akan tersentralisasi di sekitar perusahaan teknologi besar
- Rasanya memang semua aplikasi seharusnya berjalan di sandbox secara default
  Aplikasi tidak boleh bisa keluar dari root-nya, dan akses keluar harus diizinkan secara eksplisit
  Permintaan akses di MacOS memang banyak, tetapi menurut saya tetap dibutuhkan kontrol izin yang lebih rinci
- Saat menjalankan sandbox, memblokir akses internet juga penting
  Editor teks tidak memerlukan koneksi jaringan, dan teks yang sedang diedit bisa dibocorkan ke luar
  Penyerang dapat mengirim informasi sistem, mengunggah file ke layanan seperti temp.sh, lalu berkomunikasi dengan server C2
  Sebagai contoh, ada kode Cobalt Strike Beacon yang berkomunikasi dengan cdncheck.it[.]com
- Muncul pertanyaan bagaimana cara menerapkan sandbox di Windows
Serangan ini menunjukkan bahwa pengembang dan pengguna makin percaya pada kode yang tidak diverifikasi secara langsung
Masalah yang sama berulang dalam instalasi paket npm/pip, kode buatan AI, dan tren ‘vibe coding’
Notepad++ masih termasuk kasus yang lebih baik karena hanya berupa satu biner, tetapi di lingkungan pengembangan modern ada ratusan dependensi dan kode AI yang saling terkait
Sandboxing memang penting, tetapi masalah sebenarnya adalah kesenjangan antara apa yang bisa dilakukan kode dan apa yang kita harapkan darinya
Kita butuh alat yang bisa membantu memahami kode yang sedang berjalan dengan lebih baik
- Tetapi menurut pengalaman saya, kepercayaan justru menurun
  Lima belas tahun lalu tidak ada yang mengkhawatirkan rantai pasok, dan pengguna Unix membangun tarball tanpa verifikasi
- Ini mengingatkan pada makalah klasik Ken Thompson, “Reflections on Trusting Trust”
  Sandboxing membantu, tetapi bukan solusi sempurna
  Utilitas seperti Notepad++ yang memiliki izin untuk mengedit file sistem tetap berbahaya
Saya penasaran apakah ada alat resmi untuk mendeteksi dan membersihkan infeksi
- Jika Windows sudah terinfeksi, satu-satunya solusi adalah memformat disk lalu memasang ulang OS
  Malware bisa bersembunyi di berbagai bagian sistem, dan peringatan UAC saja tidak cukup untuk menghentikannya
- Disarankan menjalankan MS Defender mode offline
Jika sekarang sudah terinfeksi, saya penasaran apakah Malwarebytes bisa mendeteksinya
- Di postingan OP ada daftar indikator kompromi (IOC)
  Tulisan analisis Rapid7 juga memuat hal yang sama
  Agak mengejutkan tautan ini tidak ada di pengumuman aslinya
- Tetapi Malwarebytes belakangan tidak lagi seberguna dulu karena penurunan kualitas
Saya penasaran bagaimana tanda tangan digital Notepad++ bisa dilewati
Saat saya mengunduhnya langsung, ada code signature yang valid
- Menurut pengumuman resmi, ada versi yang didistribusikan tanpa sertifikat
- Program pembaru tidak memverifikasi sertifikat file instalasi baru dan langsung mengeksekusinya
Sekarang situasinya terasa kontradiktif: untuk menutup celah keamanan kita harus sering memperbarui, tetapi untuk menghindari serangan rantai pasok kita justru perlu menahan diri untuk tidak memperbarui
Saya tidak tahu bagaimana menyeimbangkannya
- Dulu pembaruan juga kadang membuat sistem tidak stabil
  Pembaruan Microsoft belakangan juga kurang andal, dan makin banyak orang mematikan pembaruan otomatis karena masalah seperti gagal boot
- Akan bagus jika ada package manager lokal yang menerapkan pembaruan setelah jeda tertentu, seperti pengaturan cooldown Dependabot
  Dokumentasi terkait: Opsi GitHub Dependabot
- Pada akhirnya ini adalah trade-off antara kerentanan zero-day dan serangan rantai pasok
  Aplikasi yang banyak terhubung ke internet sebaiknya sering diperbarui, sedangkan alat lokal yang sederhana tidak masalah jika pembaruan otomatis dimatikan
- Ini tergantung lingkungan penggunaan
  Jika menangani konten internet maka pembaruan itu wajib, tetapi jika hanya untuk penggunaan lokal maka cukup diperbarui saat diperlukan
  Sebagian besar kasus ada di antara dua ujung itu
Sebagai referensi, dibagikan tulisan analisis Rapid7