Notepad++ Terkompromi: Jejak Peretasan Kelompok Mata-mata China yang Baru Terungkap

Semarang (usmnews) – Dikutip dari kompas.com Dunia keamanan siber kembali diguncang oleh kabar mengejutkan yang menimpa salah satu aplikasi editor teks paling populer di kalangan pengembang perangkat lunak, yakni Notepad++. Pada awal Februari 2026, terungkap bahwa aplikasi yang telah menjadi andalan jutaan pengguna Windows selama lebih dari dua dekade ini telah menjadi sasaran operasi peretasan canggih. Insiden ini melibatkan kelompok peretas yang terafiliasi dengan pemerintah China, yang berhasil menyusup ke dalam mekanisme pembaruan perangkat lunak tersebut selama berbulan-bulan tanpa terdeteksi.

Don Ho, pengembang utama Notepad++, secara resmi mengonfirmasi insiden keamanan ini pada Senin, 2 Februari 2026. Dalam pernyataannya, ia mengungkapkan bahwa serangan tersebut berlangsung cukup lama, yakni mulai dari bulan Juni hingga Desember 2025. Selama periode kritis ini, para peretas memiliki kemampuan untuk memanipulasi lalu lintas data dan mengirimkan pembaruan perangkat lunak yang telah disusupi malware berbahaya kepada para pengguna yang tidak menaruh curiga. Hal ini tentu menjadi pukulan berat bagi komunitas teknologi, mengingat reputasi Notepad++ sebagai perangkat lunak open-source yang selama ini dianggap aman dan esensial.

Berdasarkan analisis mendalam dari pakar keamanan siber di Rapid7, dalang di balik serangan ini diidentifikasi sebagai “Lotus Blossom,” sebuah kelompok spionase siber yang terkenal memiliki rekam jejak panjang bekerja untuk kepentingan negara China. Target operasi mereka sangat spesifik dan strategis. Alih-alih menyebarkan malware secara acak ke seluruh pengguna, kelompok ini menargetkan organisasi-organisasi vital yang bergerak di sektor pemerintahan, telekomunikasi, penerbangan, infrastruktur kritis, dan media. Fokus serangan terutama diarahkan pada entitas yang memiliki kepentingan strategis di wilayah Asia Timur.

Modus operandi yang digunakan para peretas tergolong canggih. Mereka tidak meretas aplikasi itu sendiri secara langsung di komputer pengguna, melainkan menyerang infrastruktur server web Notepad++. Karena situs web Notepad++ di-hosting pada layanan shared hosting (server berbagi), peretas berhasil mengeksploitasi kelemahan pada lingkungan tersebut. Mereka menargetkan domain web resmi untuk membajak permintaan pembaruan (update request). Ketika pengguna tertentu mencoba memperbarui aplikasi mereka, alih-alih terhubung ke server resmi, mereka diam-diam dialihkan ke server berbahaya milik peretas. Dari sana, peretas mengirimkan versi aplikasi yang telah dimodifikasi, memberikan mereka akses pintu belakang (backdoor) langsung ke komputer korban.

Insiden ini pertama kali terendus oleh peneliti keamanan Kevin Beaumont pada Desember 2025, yang menemukan anomali pada pola lalu lintas jaringan aplikasi tersebut. Beruntung, celah keamanan atau bug yang dieksploitasi oleh para peretas sebenarnya telah diperbaiki oleh pihak pengembang pada November 2025, sehingga akses ilegal tersebut tertutup pada awal Desember tahun yang sama. Don Ho juga mencatat adanya upaya berulang dari peretas untuk mengeksploitasi celah yang sama setelah perbaikan dirilis, namun upaya tersebut gagal.

Sebagai respons atas kejadian ini, pengembang Notepad++ telah menyampaikan permintaan maaf terbuka kepada seluruh basis penggunanya. Ia mendesak semua pengguna, baik individu maupun organisasi, untuk segera mengunduh dan menginstal versi terbaru Notepad++ yang telah dilengkapi dengan tambalan keamanan (security patch). Insiden ini menjadi pengingat keras bahwa bahkan perangkat lunak open-source yang paling terpercaya sekalipun tidak kebal terhadap ancaman spionase siber tingkat negara, dan pentingnya bagi pengguna untuk selalu waspada terhadap integritas pembaruan perangkat lunak mereka.