Media90 – Komunitas pengembang perangkat lunak dan pengguna setia Windows dikejutkan oleh kabar peretasan salah satu aplikasi pengeditan teks paling populer di dunia, Notepad++. Pengembang resmi Notepad++, Don Ho, secara terbuka mengonfirmasi bahwa server situs web Notepad++ telah disusupi oleh peretas dalam sebuah operasi spionase siber yang berlangsung cukup lama sepanjang tahun 2025.
Dalam pernyataan resminya pada Senin (2/2/2026), Don Ho mengungkapkan bahwa pembajakan tersebut memungkinkan pelaku menyisipkan pembaruan (update) berbahaya ke sejumlah pengguna tertentu. Update palsu ini memberi penyerang akses langsung ke komputer korban tanpa disadari.
Dugaan Operasi Spionase Siber Terorganisir
Kecurigaan awal terhadap insiden ini muncul pada Desember 2025 setelah peneliti keamanan siber Kevin Beaumont menemukan anomali mencurigakan dalam sistem pembaruan Notepad++. Penyelidikan lanjutan mengarah pada dugaan keterlibatan kelompok mata-mata siber asal China yang dikenal dengan nama Lotus Blossom, yang disebut-sebut memiliki dukungan negara.
Kelompok ini diduga menargetkan organisasi-organisasi strategis, mulai dari lembaga pemerintahan, perusahaan telekomunikasi, industri penerbangan, infrastruktur kritis, hingga sektor keuangan dan media yang memiliki kepentingan di kawasan Asia Timur dan Amerika Serikat.
Kronologi Serangan: Dari Domain hingga Backdoor
Serangan ini diketahui telah dimulai sejak Juni 2025. Alih-alih menyerang kode sumber Notepad++ secara langsung, peretas memilih jalur yang lebih halus namun efektif: mengeksploitasi layanan hosting bersama yang digunakan oleh situs resmi notepad-plus-plus.org.
Dengan menguasai kontrol domain, pelaku mampu memanipulasi mekanisme auto-update WinGUp pada versi Notepad++ yang lebih lama. Alhasil, permintaan pembaruan yang seharusnya diarahkan ke server resmi justru dialihkan ke server berbahaya milik peretas.
Laporan dari perusahaan keamanan siber Rapid7 mengungkapkan bahwa peretas mendistribusikan sebuah file bernama update.exe yang telah disisipi malware.
“Skrip instalasi tersebut diperintahkan untuk membuat direktori baru bernama ‘Bluetooth’ di folder %AppData%, menyalin file tambahan ke dalam direktori tersebut, mengubah atribut folder menjadi tersembunyi, dan mengeksekusi file BluetoothService.exe,” tulis Rapid7 dalam analisisnya.
Malware ini berfungsi sebagai backdoor, memungkinkan peretas mencuri dokumen serta data sensitif korban secara diam-diam dan berkelanjutan.
Lemahnya Verifikasi pada Versi Lama
Keberhasilan serangan ini tak lepas dari lemahnya mekanisme verifikasi pembaruan pada versi Notepad++ yang lebih lama. Kevin Beaumont menjelaskan bahwa sistem tersebut memungkinkan URL update dicegat dan dialihkan tanpa pemeriksaan yang memadai.
“Jika traffic dapat dicegat dan dimodifikasi, unduhan bisa dialihkan ke lokasi mana pun hanya dengan mengubah URL,” jelas Beaumont. Ia menambahkan bahwa proses pengunduhan pada versi lama tidak melakukan validasi menyeluruh untuk mendeteksi manipulasi.
Don Ho mengakui bahwa domain resmi Notepad++ memang menjadi target utama eksploitasi, khususnya karena kontrol verifikasi update yang belum cukup kuat saat itu. Meski akses peretas sepenuhnya berhasil ditutup pada awal Desember 2025, langkah mitigasi sebenarnya telah dimulai sejak November.
“Kami menemukan log yang menunjukkan upaya eksploitasi lanjutan terhadap celah yang sudah diperbaiki, namun serangan tersebut gagal setelah patch diterapkan,” ujar Ho.
Mitigasi Cepat dan Peningkatan Keamanan
Menanggapi insiden ini, tim pengembang Notepad++ segera memindahkan seluruh layanan mereka ke penyedia hosting baru dengan standar keamanan yang lebih ketat. Selain itu, pembaruan besar juga dirilis untuk menutup seluruh celah yang diketahui.
Don Ho menjelaskan bahwa sistem auto-update WinGUp telah ditingkatkan secara signifikan mulai versi 8.8.9, dengan penambahan verifikasi sertifikat serta tanda tangan digital installer.
“Versi terbaru, yakni Notepad++ 8.9.1, kini memiliki lapisan keamanan yang jauh lebih kuat,” ujarnya.
Ia juga menyampaikan permohonan maaf kepada puluhan juta pengguna Notepad++ di seluruh dunia atas risiko dan ketidaknyamanan yang terjadi. Mengingat Notepad++ merupakan aplikasi open-source yang banyak digunakan di lingkungan korporasi dan pemerintahan, para pakar keamanan mendesak pengguna untuk segera melakukan pembaruan manual ke versi terbaru.
Langkah ini dinilai krusial untuk memastikan sistem verifikasi sertifikat dan tanda tangan digital berjalan optimal, sekaligus menutup peluang pengambilalihan komputer oleh pihak tak bertanggung jawab di masa mendatang.
