Komunitas pengembang perangkat lunak serta pengguna sistem operasi Windows tengah diguncang kabar serius terkait keamanan salah satu editor teks paling populer di dunia, Notepad++. Pengembang utama Notepad++, Don Ho, mengonfirmasi pada Senin (2/2/2026) bahwa server resmi situs mereka telah menjadi sasaran peretasan dalam sebuah operasi spionase siber yang berlangsung cukup lama sepanjang 2025.
Akibat insiden tersebut, pelaku kejahatan siber berhasil menyelipkan pembaruan berbahaya kepada sejumlah pengguna tertentu. Update palsu ini memungkinkan peretas memperoleh akses langsung ke komputer korban, membuka peluang pencurian data tanpa disadari pemilik perangkat.
Terendus Sejak Akhir 2025
Indikasi awal pelanggaran keamanan ini pertama kali terdeteksi oleh peneliti keamanan siber Kevin Beaumont pada Desember 2025. Setelah dilakukan analisis mendalam, serangan tersebut diduga memiliki keterkaitan dengan kelompok spionase digital asal China yang dikenal dengan nama Lotus Blossom, yang diyakini mendapat dukungan negara.
Target serangan ini tidak sembarangan. Fokusnya mencakup sektor-sektor strategis seperti lembaga pemerintahan, telekomunikasi, penerbangan, infrastruktur vital, hingga sektor keuangan dan media yang memiliki kepentingan di kawasan Asia Timur dan Amerika Serikat.
Modus: Eksploitasi Server Web, Bukan Kode Aplikasi
Serangan ini diketahui telah dimulai sejak Juni 2025 dengan memanfaatkan celah keamanan pada layanan shared hosting yang digunakan oleh situs resmi notepad-plus-plus.org. Alih-alih menyusupi kode sumber aplikasi secara langsung, pelaku memilih jalur yang lebih licik dengan mengambil alih domain web resmi.
Dengan menguasai domain tersebut, peretas mengeksploitasi mekanisme verifikasi pembaruan pada versi Notepad++ lama. Mereka kemudian mengarahkan sistem auto-update WinGUp ke server berbahaya milik mereka, sehingga pengguna tanpa sadar mengunduh file berisi malware.
Update.exe Berisi Malware Backdoor
Berdasarkan laporan analisis dari pakar keamanan Rapid7, peretas menyebarkan sebuah file bernama update.exe yang telah disusupi muatan berbahaya. File ini menjalankan skrip instalasi yang membuat direktori tersembunyi bernama Bluetooth di folder %AppData%, menyalin beberapa file tambahan ke dalamnya, serta mengeksekusi program BluetoothService.exe.
Malware tersebut dirancang untuk menciptakan backdoor di sistem korban. Dengan akses ini, pelaku dapat mencuri dokumen dan data sensitif secara diam-diam, tanpa memunculkan tanda-tanda mencurigakan bagi pengguna.
Celah Fatal di Sistem Verifikasi Versi Lama
Keberhasilan serangan ini tidak lepas dari lemahnya sistem verifikasi pembaruan pada versi Notepad++ terdahulu. Kevin Beaumont menjelaskan bahwa URL pembaruan pada versi lama dapat dicegat dan dialihkan dengan relatif mudah.
Jika lalu lintas pembaruan dapat dicegat, maka unduhan bisa diarahkan ke server mana pun hanya dengan memodifikasi URL, ungkap Beaumont. Ia menambahkan bahwa proses pengunduhan saat itu tidak memiliki mekanisme pemeriksaan menyeluruh untuk mendeteksi manipulasi.
Don Ho mengakui bahwa pelaku secara spesifik menargetkan kelemahan tersebut. Meski akses penuh peretas baru benar-benar berhasil dihentikan pada awal Desember 2025, upaya mitigasi sebenarnya telah mulai dilakukan sejak November.
Kami mencatat adanya percobaan eksploitasi ulang terhadap celah yang sudah diperbaiki, tetapi upaya tersebut gagal setelah patch diterapkan, jelas Ho.
Perbaikan Sistem dan Imbauan Pengguna
Sebagai respons atas insiden ini, tim pengembang Notepad++ mengambil langkah tegas dengan memindahkan seluruh layanan ke penyedia hosting baru yang memiliki standar keamanan lebih tinggi. Selain itu, pembaruan besar juga dilakukan pada sistem auto-update.
Pada versi 8.8.9, WinGUp telah ditingkatkan untuk melakukan verifikasi sertifikat dan tanda tangan digital installer. Versi terbaru saat ini, 8.9.1, bahkan menghadirkan lapisan keamanan tambahan yang lebih komprehensif.
Don Ho menyampaikan permintaan maaf kepada puluhan juta pengguna Notepad++ di seluruh dunia atas risiko keamanan yang ditimbulkan. Mengingat aplikasi open-source ini banyak digunakan di lingkungan perusahaan dan organisasi besar, para pakar keamanan mengimbau pengguna untuk segera melakukan pembaruan manual ke versi terbaru.
Langkah ini dinilai krusial untuk memastikan sistem verifikasi berjalan optimal dan mencegah potensi pengambilalihan kendali komputer oleh pihak tidak bertanggung jawab di kemudian hari. Tuna55
