Update Notepad++ Ternyata Diretas, Backdoor Aktif Selama Berbulan-bulan

Pengguna Notepad++ di seluruh dunia dihadapkan pada ancaman keamanan serius setelah terungkap bahwa sistem pembaruan editor teks populer tersebut telah disusupi peretas selama sekitar enam bulan. Serangan ini memungkinkan penyerang menyisipkan backdoor ke komputer target tertentu melalui mekanisme update resmi.

Menurut Don Ho, pengembang utama Notepad++, server update pihak ketiga yang digunakan proyek open-source tersebut telah dikompromikan sejak Juni hingga 2 Desember 2025. Serangan terjadi pada infrastruktur penyedia hosting lama yang selama ini menangani lalu lintas pembaruan aplikasi.

Dalam pernyataan resminya, Ho menjelaskan bahwa sebagian pengguna dialihkan secara selektif ke server milik penyerang saat melakukan update. Pada proses tersebut, file pembaruan yang sah digantikan dengan versi berbahaya yang kemudian diunduh dan dijalankan otomatis oleh sistem updater Notepad++.

Kondisi ini membuat serangan sulit terdeteksi karena tidak menyasar seluruh pengguna. Basis pengguna Notepad++ yang besar, khususnya di kalangan pengembang dan profesional IT, justru menjadi faktor risiko tambahan ketika celah keamanan ini dimanfaatkan secara terarah.

Malware Permanen dan Serangan Sangat Terfokus

Pakar keamanan independen Kevin Beaumont mengungkap bahwa malware yang disisipkan memberikan pelaku akses jarak jauh penuh ke sistem korban. Akses tersebut mencakup kemampuan memantau input keyboard dan aktivitas sistem lainnya. Berdasarkan temuannya, korban berasal dari organisasi yang memiliki kepentingan strategis di kawasan Asia Timur, sehingga serangan ini dinilai sangat terfokus dan bukan berskala massal.

Sementara itu, Rapid7, perusahaan keamanan siber, menamai backdoor tersebut dengan sebutan Chrysalis. Backdoor ini dikategorikan sebagai tool permanen yang dirancang untuk bertahan lama di sistem korban. Berdasarkan log yang dianalisis, pelaku bahkan masih mencoba mengeksploitasi celah meskipun sebagian perbaikan telah diterapkan.

Celah utama berada pada mekanisme updater lama Notepad++, yang masih menggunakan koneksi tidak aman serta verifikasi digital yang lemah. Dengan memanipulasi URL update, penyerang dapat mengarahkan sistem korban untuk mengunduh file berbahaya tanpa disadari pengguna.

Sebagai respons, pengembang Notepad++ telah memperkuat sistem pembaruan. Semua pengguna diminta segera memperbarui aplikasi ke versi 8.9.1 atau lebih baru, dengan batas minimum versi aman di 8.8.9. Pengguna juga diimbau hanya mengunduh installer dari situs resmi notepad-plus-plus.org.

Bagi pengguna di Indonesia, langkah pencegahan yang disarankan meliputi menghapus versi lama Notepad++, memastikan tidak ada aktivitas mencurigakan di sistem, serta memverifikasi bahwa seluruh instalasi dan pembaruan berasal dari sumber resmi.

Referensi:
DetikInet