Actuele Cyberaanvallen

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

Onderzoekers op het gebied van cyberbeveiliging hebben details openbaar gemaakt over een nieuwe variant van de Shai-Hulud malware die is aangetroffen in de npm-registry. Daarnaast is er een kwaadaardig pakket geïdentificeerd op Maven Central dat zich voordeed als een legitieme bibliotheek om gevoelige gegevens te stelen en malware te verspreiden. Beide incidenten tonen aan hoe aanvallers vertrouwde afhankelijkheden misbruiken in de softwareketen.

Het npm-pakket dat de nieuwe Shai-Hulud variant bevat, draagt de naam @vietmoney/react-big-calendar. Dit pakket werd oorspronkelijk in maart 2021 geüpload door een gebruiker genaamd hoquocdat, maar ontving op 28 december 2025 een update naar versie 0.26.2. Hoewel het pakket in totaal 698 keer is gedownload, is de laatste versie 197 keer binnengehaald. Beveiligingsonderzoekers melden dat er nog geen grote verspreiding of infecties zijn waargenomen, wat suggereert dat de aanvallers hun payload waarschijnlijk aan het testen waren. Uit analyse van de code blijkt dat deze opnieuw is geobfusceerd vanuit de broncode, wat impliceert dat de daders toegang hebben tot de originele broncode van de worm en niet slechts kopieerders zijn.

De Shai-Hulud aanval werd voor het eerst waargenomen in september 2025. Hierbij stalen getrojaniseerde npm-pakketten gevoelige data zoals API-sleutels en inloggegevens, die vervolgens naar GitHub-repositories werden gestuurd. Een tweede golf volgde in november 2025. Een cruciaal kenmerk van deze campagne is het vermogen om gestolen npm-tokens te gebruiken om andere pakketten van de ontwikkelaar op te halen, deze te infecteren met dezelfde kwaadaardige code en opnieuw te publiceren. Dit mechanisme zorgt voor een worm-achtige verspreiding binnen de toeleveringsketen.

De recent ontdekte variant vertoont diverse wijzigingen ten opzichte van eerdere versies. Het initiële bestand heet nu bun_installer.js en de hoofdlading wordt aangeduid als environment_source.js. De GitHub-repositories waarnaar de geheimen worden gelekt, dragen de beschrijving "Goldox-T3chs: Only Happy Girl". De bestandsnamen waarin de gestolen geheimen worden opgeslagen zijn gewijzigd naar onder meer 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json en actionsSecrets.json. Een opvallende verandering is de verwijdering van de zogenaamde dead man switch, die in eerdere versies zorgde voor het wissen van data als er geen tokens werden gevonden. Daarnaast zijn er verbeteringen doorgevoerd in de foutafhandeling en de manier waarop pakketten worden gepubliceerd op basis van het besturingssysteem.

Naast de npm-malware is er ook een kwaadaardig pakket op Maven Central aangetroffen. Het pakket org.fasterxml.jackson.core/jackson-databind deed zich voor als de legitieme Jackson JSON-bibliotheek com.fasterxml.jackson.core. Dit is een vorm van typosquatting waarbij misbruik wordt gemaakt van de visuele gelijkenis tussen org en com in de naamgeving. Het pakket is inmiddels offline gehaald. Binnen het Java Archive-bestand bevond zich zwaar geobfusceerde code die automatisch werd uitgevoerd zodra een ontwikkelaar de afhankelijkheid toevoegde aan een Spring Boot-applicatie. De malware controleerde op de aanwezigheid van een bestand genaamd .idea.pid om te bepalen of het op een ontwikkelaarsmachine draaide; als dit bestand werd gevonden, stopte de malware om detectie te voorkomen.

Vervolgens nam de malware contact op met een externe server op het domein m.fasterxml.org om een versleutelde payload op te halen. Deze payload betreft een Cobalt Strike beacon, een tool die doorgaans wordt gebruikt voor simulaties door beveiligingsteams maar hier wordt misbruikt voor post-exploitatie. Op Windows-systemen werd een bestand genaamd svchosts.exe gedownload, terwijl macOS-systemen een payload genaamd update ontvingen. Het gebruikte domein fasterxml.org werd geregistreerd op 17 december 2025, kort voor de detectie van het pakket. Het incident legt een zwakke plek bloot in de detectiemogelijkheden van Maven Central met betrekking tot pakketten die legitieme naamruimtes imiteren.

Bron 1, 2, 3, 4, 5

Large Language Models hebben de softwareontwikkeling ingrijpend veranderd door programmeermogelijkheden toegankelijk te maken voor een breed publiek. Deze toegenomen toegankelijkheid heeft echter geleid tot een nieuwe beveiligingscrisis, waarbij geavanceerde AI-tools nu als wapen worden ingezet voor het automatiseren van complexe exploits tegen bedrijfssoftware. Deze ontwikkeling vormt een fundamentele uitdaging voor de huidige beveiligingsprincipes, waarbij de technische complexiteit van het uitbuiten van kwetsbaarheden voorheen fungeerde als een natuurlijke barrière tegen minder ervaren aanvallers.

Het dreigingslandschap ondergaat een snelle evolutie nu kwaadwillenden deze modellen gebruiken om theoretische beschrijvingen van kwetsbaarheden om te zetten in werkende aanvalsscripts. Door LLM's te manipuleren, kunnen aanvallers veiligheidsmechanismen omzeilen en functionele exploits genereren voor kritieke systemen, zonder dat zij diepgaande kennis nodig hebben van interne systeemprocessen of geheugenbeheer. Deze capaciteit stelt personen met beperkte programmeerkennis in staat om effectieve cyberaanvallen uit te voeren op productieomgevingen, waardoor de drempel voor succesvolle aanvallen aanzienlijk wordt verlaagd.

Onderzoekers van de Universiteit van Luxemburg en de Universiteit Cheikh Anta Diop hebben deze specifieke dreiging in kaart gebracht en gedemonstreerd. In hun studie toonden zij aan dat veelgebruikte modellen zoals GPT-4o en Claude via social engineering gemanipuleerd kunnen worden om beveiligingslekken te misbruiken. De onderzoekers demonstreerden dat deze AI-modellen in staat waren om Odoo ERP-systemen te compromitteren met een succespercentage van 100 procent. De studie benadrukt dat het onderscheid tussen technische en niet-technische aanvallers hierdoor vervaagt, aangezien aanvallers systematisch kwetsbare softwareversies kunnen identificeren en deze kunnen inzetten voor geautomatiseerde tests om aanvallen snel te verfijnen.

De kern van deze dreiging ligt in de RSA-strategie, wat staat voor Role-play, Scenario en Action. Deze geavanceerde pretexting-techniek wordt gebruikt om de veiligheidsfilters van LLM's systematisch te omzeilen door de context waarin een vraag wordt gesteld te manipuleren. In plaats van direct om een schadelijke exploit te vragen, hanteert de aanvaller een gelaagde aanpak om het model te misleiden. Eerst krijgt het model een onschuldige rol toegewezen, zoals die van een onderzoeker of educatieve assistent. Vervolgens wordt een scenario geschetst waarin de vraag binnen een veilige omgeving wordt geplaatst, zoals een laboratoriumtest of een bug bounty-programma. Tot slot wordt de AI gevraagd om specifieke acties uit te voeren die de benodigde code genereren.

Deze vorm van gestructureerde manipulatie omzeilt de ingebouwde veiligheidstraining van de modellen effectief. Het model raakt ervan overtuigd dat het genereren van de code een legitieme en behulpzame handeling is. De output resulteert vaak in volledig functionele scripts in talen zoals Python of Bash, waarmee acties zoals SQL-injecties of het omzeilen van authenticatie kunnen worden uitgevoerd. De bevindingen tonen aan dat de huidige veiligheidsmaatregelen ontoereikend zijn tegen deze vorm van contextbewuste social engineering en dat traditionele aannames over de technische drempels voor cyberaanvallen herzien moeten worden.

Bron 1

Een nieuwe variant van de GlassWorm-malware richt zich specifiek op macOS-systemen door gebruik te maken van kwaadaardige extensies voor Visual Studio Code. Deze zelfverspreidende worm wordt gedistribueerd via de Open VSX-marktplaats en heeft in korte tijd meer dan 50.000 downloads verzameld. De huidige aanvalscampagne markeert een belangrijke verschuiving in de strategie van de dreigingsactor, die voorheen voornamelijk Windows-gebruikers als doelwit had. De vierde golf van deze malware introduceert geavanceerde ontwijkingstechnieken en versleutelde payloads om detectie door beveiligingssoftware te voorkomen.

De verspreiding vindt plaats via drie specifieke extensies genaamd pro-svelte-extension, vsce-prettier-pro en full-access-catppuccin-pro-extension. Onderzoek heeft uitgewezen dat deze extensies verbonden zijn via een gedeelde infrastructuur en identieke encryptiesleutels. In tegenstelling tot eerdere versies die gebruikmaakten van onzichtbare Unicode-tekens of Rust-binaries, vertrouwt de nieuwste iteratie op JavaScript-payloads die met AES-256-CBC zijn versleuteld. Deze payloads zijn specifiek ontworpen voor de macOS-architectuur en maken gebruik van AppleScript voor uitvoering en LaunchAgents voor persistentie op het systeem.

Een opvallend kenmerk van deze malware is het mechanisme om zandbakomgevingen te misleiden. Na installatie wacht de extensie exact vijftien minuten voordat de kwaadaardige code wordt geactiveerd. Omdat de meeste geautomatiseerde beveiligingsscanners een time-out hebben van vijf minuten, wordt de extensie tijdens de eerste analyse als legitiem geclassificeerd. Zodra de vertragingstijd is verstreken, wordt de versleutelde payload gedecodeerd en uitgevoerd met behulp van de ingebouwde cryptografische functies van de extensie.

De aansturing van de malware verloopt via de Solana-blockchain, wat het voor autoriteiten uiterst moeilijk maakt om de infrastructuur offline te halen. De aanvaller publiceert base64-gecodeerde URL's in transactiememo's op de blockchain, waardoor de geïnfecteerde systemen gedecentraliseerde instructies kunnen ontvangen zonder afhankelijk te zijn van traditionele domeinnamen die geblokkeerd kunnen worden. Onderzoekers hebben de infrastructuur herleid naar het IP-adres 45.32.151.157, dat consistent is met eerdere golven van GlassWorm-activiteit.

De functionaliteit van de malware omvat het stelen van gevoelige informatie en het compromitteren van hardware-wallets. De code is in staat om directe toegang te verkrijgen tot de macOS Keychain-database om opgeslagen wachtwoorden en inloggegevens te ontvreemden. Daarnaast bevat de infrastructuur voorbereidingen om applicaties zoals Ledger Live en Trezor Suite te vervangen door getrojaniseerde versies. Gestolen gegevens worden tijdelijk opgeslagen in de directory /tmp/ijewf/, gecomprimeerd en vervolgens geëxfiltreerd naar een externe server op het adres 45.32.150.251/p2p.

Bron 1

Het Belgium Anti-Phishing Shield (BAPS), een technische beveiligingsmaatregel op basis van het Domain Name System, heeft in het afgelopen jaar 200 miljoen keer ingegrepen bij het surfgedrag van Belgische internetgebruikers. Uit cijfers die vandaag door de Belgische overheid zijn gepubliceerd, blijkt dat providers burgers even zo vaak hebben doorgestuurd naar een waarschuwingspagina. Dit mechanisme wordt geactiveerd wanneer een gebruiker een domein probeert te bezoeken dat voorkomt op een centrale lijst met malafide websites.

De technische infrastructuur van het filter leunt op de samenwerking tussen de overheid en internetproviders. De verantwoordelijke instantie voor cybersecurity in België analyseert dreigingen en distribueert een lijst met onveilige URL's naar de providers. Wanneer een DNS-verzoek van een abonnee overeenkomt met een item op deze lijst, wordt de verbinding met de oorspronkelijke server onderbroken en verschijnt er een waarschuwing. De data voor dit filter is voor een aanzienlijk deel afkomstig van meldingen uit de samenleving. In het afgelopen jaar werden bijna tien miljoen verdachte berichten door burgers doorgestuurd naar de bevoegde dienst, waarna deze informatie werd gebruikt voor de verrijking van de blocklist.

Parallel aan de Belgische resultaten wordt in Nederland de effectiviteit van een soortgelijke technologie onderzocht. Onder de noemer Anti-Phishing Shield (APS) is eind juli vorig jaar een pilot gestart. In deze testfase werken een grote telecomprovider en het Nationaal Cyber Security Centrum (NCSC) samen om te bezien of een dns-gebaseerd filter op nationale schaal haalbaar is. In tegenstelling tot de bredere uitrol in België, betreft het Nederlandse experiment vooralsnog een specifieke klantengroep die zich via een opt-in constructie vrijwillig heeft aangemeld voor de beveiligingsdienst.

De Nederlandse pilot heeft een looptijd van zes maanden en dient als basis voor politieke besluitvorming. Demissionair minister Van Oosten van Justitie en Veiligheid heeft aangegeven dat de resultaten zullen worden geëvalueerd om te bepalen of een structurele en landelijke implementatie wenselijk is. Bij deze evaluatie wordt tevens gekeken naar de mogelijkheid om in de toekomst meerdere partijen uit de telecomsector bij het initiatief te betrekken. De focus van het onderzoek ligt op de technische effectiviteit van de blokkades en de impact op de eindgebruiker.

Bron 1

Binnen de Cardano-gemeenschap is een geavanceerde phishingcampagne actief die zich richt op gebruikers van de Eternl-wallet. De aanval maakt gebruik van professioneel opgestelde e-mails waarin de lancering van een officiële Eternl Desktop-applicatie wordt aangekondigd. In deze berichten worden ontvangers verleid met beloften over veilige staking-mogelijkheden en deelname aan governance. Om de geloofwaardigheid te vergroten, verwijzen de aanvallers naar ecosysteem-gebonden prikkels, zoals NIGHT- en ATMA-tokenbeloningen via het Diffusion Staking Basket-programma.

De frauduleuze e-mails zijn nagenoeg identieke replica's van legitieme communicatie en bevatten gedetailleerde informatie over hardware wallet-compatibiliteit, lokaal sleutelbeheer en geavanceerde delegatie-instellingen. Door het hanteren van een zakelijke toon en het ontbreken van taalfouten straalt de campagne autoriteit uit. Gebruikers worden naar een recent geregistreerd domein geleid, download.eternldesktop.network, waar een kwaadaardig installatiepakket wordt aangeboden dat niet is voorzien van officiële digitale handtekeningen.

Technisch onderzoek heeft uitgewezen dat het aangeboden MSI-bestand, met een omvang van 23,3 megabyte en hashwaarde 8fa4844e40669c1cb417d7cf923bf3e0, een verborgen remote management tool bevat. Na installatie plaatst de software een uitvoerbaar bestand genaamd unattended-updater.exe op het systeem, wat de legitieme tool GoTo Resolve Unattended Updater blijkt te zijn. Tijdens de uitvoering creëert dit bestand een specifieke mappenstructuur in de Program Files-directory en genereert het diverse configuratiebestanden, waaronder unattended.json.

Deze configuratie maakt het mogelijk om op afstand toegang te verkrijgen tot het systeem zonder dat de gebruiker hiervan op de hoogte is. Uit netwerkanalyses blijkt dat de malware verbinding maakt met infrastructuren van legitieme GoTo Resolve-diensten. Hierbij wordt systeeminformatie in JSON-formaat verzonden naar externe servers via hardgecodeerde API-referenties. Op deze wijze wordt een communicatiekanaal opgezet voor het uitvoeren van opdrachten op afstand en het monitoren van het geïnfecteerde systeem.

Beveiligingsonderzoekers classificeren deze campagne als een vorm van supply-chain misbruik. Door remote management tools te bundelen met vermeende wallet-software, verkrijgen actoren langdurige toegang tot systemen, wat kan leiden tot het oogsten van inloggegevens en diefstal van cryptovaluta. De campagne illustreert hoe actuele thema's binnen de cryptogemeenschap worden misbruikt om schadelijke software te verspreiden.

Bron 1

Op 2 januari 2026 is een grootschalige aanval vastgesteld die honderden digitale portefeuilles treft verspreid over diverse EVM-compatibele blockchains. On-chain data wijzen uit dat er systematisch fondsen worden onttrokken in kleine bedragen, waarbij de buit per wallet doorgaans onder de 2.000 dollar blijft. De totale gedocumenteerde schade is inmiddels opgelopen tot boven de 107.000 dollar en neemt nog steeds toe.

De onderliggende oorzaak van deze diefstallen is op dit moment nog onbekend. Er is nog geen uitsluitsel of het gaat om een lek in een specifiek protocol, een kwaadaardige interactie met een smart contract of een andere vorm van exploit. De onttrekkingen zijn direct gekoppeld aan het verdachte adres 0xAc2e5153170278e24667a580baEa056ad8Bf9bFB, waar de gestolen activa van de verschillende ketens worden verzameld.

Omdat de aanval meerdere ketens binnen het EVM-ecosysteem treft, is de reikwijdte aanzienlijk. Experts monitoren de bewegingen op de blockchain om de exacte methode van de aanvallers te achterhalen. Gebruikers wordt geadviseerd hun wallet-activiteit nauwgezet te controleren, aangezien de aanval op dit moment nog voortduurt en de technische kwetsbaarheid nog niet is geïdentificeerd.

Op 1 januari 2026 is op een dark web-forum een advertentie geplaatst waarin toegang wordt aangeboden tot een intern administratief paneel van de cryptocurrency-exchange Kraken. De aanbieder beweert over 'read-only' toegang te beschikken, wat zou betekenen dat gegevens kunnen worden ingezien zonder deze direct te kunnen wijzigen. Volgens de advertentie omvat deze toegang de mogelijkheid om gebruikersprofielen en de volledige transactiehistorie te bekijken. Ook wordt geclaimd dat volledige Know Your Customer (KYC) documentatie, zoals identiteitsbewijzen, selfies en bewijzen van adres, via dit paneel inzichtelijk zijn.

Een specifiek risico dat in de advertentie wordt genoemd, is de mogelijkheid om supporttickets te genereren. Hoewel de toegang beperkt zou zijn tot lezen, kan het aanmaken van tickets worden misbruikt voor social engineering en phishing-aanvallen. De verkoper stelt dat de toegang niet gebonden is aan IP-restricties en dat de beveiliging via Time-based One-Time Password (TOTP) pas in februari 2026 zou verlopen. De startprijs voor deze toegang is opvallend laag en begint bij één dollar, waarbij de uiteindelijke prijs onderhandelbaar zou zijn.

Beveiligingsexperts en analisten uiten aanzienlijke twijfel over de authenticiteit van het aanbod. De extreem lage prijs en bepaalde technische inconsistenties in de beschrijving van de TOTP-beveiliging wijzen volgens critici mogelijk op een poging tot oplichting op het forum zelf. Er is tot op heden geen officiële bevestiging van de exchange dat er daadwerkelijk systemen zijn gecompromitteerd. Desondanks wordt gebruikers geadviseerd alert te zijn op ongebruikelijke communicatie vanuit supportkanalen, aangezien dergelijke claims – zelfs indien onbevestigd – vaak de voorbode zijn van gerichte phishing-campagnes.

Het gedecentraliseerde platform voor intellectueel eigendom Unleash Protocol is getroffen door een omvangrijke digitale diefstal waarbij ongeveer 3,9 miljoen dollar aan cryptovaluta is ontvreemd. Het incident vond plaats nadat een ongeautoriseerde partij erin slaagde de controle te verkrijgen over het administratieve governance-systeem van het platform. Door deze overname van de zogenaamde multisig-bevoegdheden kon de aanvaller een niet-geautoriseerde upgrade van de smart contracts uitvoeren, wat de weg vrijmaakte voor het opnemen van activa zonder toestemming van het officiële team.

Unleash Protocol functioneert als een besturingssysteem voor het beheer van intellectueel eigendom door dit om te zetten in tokens op de blockchain. Deze tokens kunnen vervolgens binnen het ecosysteem van gedecentraliseerde financiën (DeFi) als onderpand worden gebruikt. Het platform faciliteert tevens de automatische distributie van royalty's en licentie-inkomsten via geprogrammeerde regels in smart contracts. De aanvaller maakte gebruik van de verkregen administratieve rechten om deze regels aan te passen, waardoor verschillende soorten activa konden worden weorgesluisd, waaronder wrapped IP (WIP), USDC, wrapped Ether (WETH), gestaked IP (stIP) en voting-escrowed IP (vIP).

Analyses van beveiligingsexperts van PeckShieldAlert wijzen uit dat de gestolen fondsen via externe infrastructuur zijn overgebracht naar andere adressen om de traceerbaarheid te bemoeilijken. De buitgemaakte cryptovaluta zijn uiteindelijk omgezet in 1.337 ETH en gestort in de cryptomixer Tornado Cash. Deze dienst wordt gebruikt om de herkomst van gelden te verhullen door transacties te anonimiseren via complexe versluieringsmechanismen. Hoewel Tornado Cash in het verleden te maken heeft gehad met internationale sancties, blijft de infrastructuur een instrument voor het verplaatsen van digitale activa buiten het zicht van toezichthouders.

De leiding van Unleash Protocol heeft naar aanleiding van de hack alle operaties op het platform onmiddellijk gepauzeerd. Er is een onderzoek gestart in samenwerking met externe beveiligingsspecialisten om de exacte oorzaak van de inbreuk vast te stellen en mogelijke herstelmaatregelen te verkennen. Gebruikers hebben het advies gekregen om geen interactie aan te gaan met de contracten van het protocol totdat er via de officiële kanalen een bevestiging van veiligheid is gegeven. De focus van het onderzoek ligt op de wijze waarop een extern beheerd adres de administratieve controle over de multisig-governance heeft kunnen bemachtigen.

Bron 1

De illegale handel in hoogwaardige technologie is een groeiend probleem binnen het geopolitieke speelveld tussen de Verenigde Staten en China. In de Amerikaanse staat Texas is een crimineel samenwerkingsverband ontmanteld dat zich schuldig maakte aan het smokkelen van geavanceerde Nvidia-processoren. Volgens de federale aanklagers wisten de betrokkenen tussen oktober 2024 en mei 2025 voor minstens 160 miljoen dollar aan hardware, specifiek de H100- en H200-chips, naar China te exporteren.

De werkwijze van het netwerk kenmerkte zich door fraude en misleiding. Er werd gebruikgemaakt van dekmantelbedrijven en een geheime opslaglocatie in New Jersey om de logistieke keten te verhullen. Om de strenge Amerikaanse exportcontroles te omzeilen, werden de grafische processoren voorzien van valse etiketten met de gefingeerde merknaam Sandkayan. Op de vrachtdocumenten stonden de goederen vervolgens geregistreerd als eenvoudige adapters en controllers, waarna ze via tussenstations naar Hongkong en China werden verscheept. De Amerikaanse justitie benadrukt dat deze chips cruciaal zijn voor de ontwikkeling van militaire AI-toepassingen en daarmee een direct risico vormen voor de nationale veiligheid.

Schattingen van experts wijzen erop dat de omvang van deze illegale stroom aanzienlijk is, waarbij in 2024 mogelijk tienduizenden tot honderdduizenden chips ongezien de grens overgingen. Opmerkelijk genoeg vond de ontmanteling van dit specifieke netwerk plaats op dezelfde dag dat het Amerikaanse beleid een koerswijziging onderging. De president kondigde aan dat de exportbeperkingen voor de krachtige Nvidia H200-chips worden opgeheven, mits een kwart van de omzet in China wordt afgedragen aan de Amerikaanse overheid. Deze beleidswijziging wordt door de verdediging in de strafzaak direct aangegrepen om het argument dat de chips een gevaar voor de staatsveiligheid vormen, in twijfel te trekken. Desondanks blijft de vraag naar deze rekenkracht vanuit China ook in 2026 onverminderd groot.

Bron 1

De organisatie verantwoordelijk voor de inauguratie van Zohran Mamdani, de nieuwe burgemeester van New York, heeft een officiële lijst gepubliceerd met voorwerpen die verboden zijn tijdens de ceremonie op 1 januari 2026. Opvallend in de veiligheidsvoorschriften is het specifieke verbod op twee technische apparaten: de Flipper Zero en de Raspberry Pi. Deze hardware wordt in de officiële FAQ van het evenement expliciet genoemd naast conventionele risico's zoals vuurwapens, explosieven, drones en laserpennen.

De Flipper Zero is een compact instrument dat door beveiligingsonderzoekers wordt gebruikt voor het analyseren van draadloze protocollen zoals RFID, NFC en Bluetooth. De Raspberry Pi is een veelzijdige computer op een enkele printplaat die volledige besturingssystemen kan draaien. Beide apparaten zijn populair in de cybersecurity-gemeenschap voor het uitvoeren van penetratietesten en netwerkanalyse.

Het verbod zorgt voor discussie over de effectiviteit van de maatregel. Terwijl deze twee specifieke apparaten bij naam worden geweerd, zijn laptops en smartphones niet opgenomen in de lijst van verboden voorwerpen. Deskundigen wijzen erop dat moderne smartphones en laptops, uitgerust met software zoals Kali Linux, vaak over grotere technische mogelijkheden beschikken voor digitale interventies dan de verboden hardware.

De beperkingen voor dergelijke apparaten passen in een bredere trend waarbij overheden en commerciële platforms proberen de verspreiding van "dual-use" hardware te controleren. In het verleden leidde de angst voor misbruik, zoals het kopiëren van digitale sleutels of betaalkaarten, al tot verkoopverboden op platforms zoals Amazon. De organisatie van de inauguratie heeft geen officiële verklaring gegeven voor het specifiek selecteren van deze twee apparaten uit het brede aanbod van beschikbare consumentenelektronica.

Bron 1, 2

Trust Wallet heeft bevestigd dat een supply chain aanval, toegeschreven aan de tweede iteratie van de Shai-Hulud campagne, heeft geleid tot de diefstal van ongeveer 8,5 miljoen dollar aan cryptovaluta. Bij het incident werden 2.520 wallets geleegd nadat aanvallers een kwaadaardige update van de Google Chrome-extensie hadden gepubliceerd. Uit onderzoek blijkt dat geheime inloggegevens van ontwikkelaars op GitHub waren blootgesteld, waardoor de daders toegang kregen tot de broncode en de API-sleutel van de Chrome Web Store.

Door het gebruik van deze API-sleutel konden de aanvallers het reguliere releaseproces van Trust Wallet omzeilen. Hierdoor was er geen interne goedkeuring of handmatige review nodig om een nieuwe softwareversie te uploaden. Op 24 december 2025 werd versie 2.68 van de extensie verspreid, die was voorzien van een backdoor. Deze kwaadaardige code was ontworpen om de mnemonic phrases van gebruikers te oogsten en door te sturen naar een door de aanvallers beheerd subdomein van metrics-trustwallet.

Analyses tonen aan dat de kwaadaardige code werd geactiveerd op elk moment dat een gebruiker de wallet ontgrendelde. Dit gebeurde ongeacht of de gebruiker wachtwoorden of biometrische gegevens gebruikte, en of de wallet al langere tijd in gebruik was of pas net was geopend na de update naar versie 2.68. De code was in staat om alle wallets binnen een account te scannen, waardoor gebruikers met meerdere geconfigureerde portefeuilles volledig werden gecompromitteerd. De gestolen seed phrases werden verborgen in een veld voor foutmeldingen binnen de telemetrie-data, waardoor de data-exfiltratie voor een oppervlakkige waarnemer leek op een standaard analytische gebeurtenis gericht op gebruikersstatistieken.

De infrastructuur achter de aanval werd gehost bij Stark Industries Solutions op IP-adres 138.124.70.40. Onderzoek wijst uit dat de voorbereidingen niet opportunistisch waren; de benodigde servers waren al op 8 december 2025 ingericht, ruim twee weken voordat de schadelijke update werd gepusht. Op de server werd de respons "He who controls the spice controls the universe" gevonden, een verwijzing naar de roman Dune die eerder werd waargenomen bij Shai-Hulud aanvallen binnen het npm-ecosysteem.

Na de ontdekking van de inbreuk heeft Trust Wallet gebruikers opgeroepen om direct te updaten naar versie 2.69. De gestolen activa werden verdeeld over ten minste 17 verschillende adressen die door de aanvallers worden beheerd. Het bedrijf is een proces gestart voor het indienen van vergoedingen voor gedupeerde slachtoffers, waarbij claims per geval worden beoordeeld om fraude te voorkomen. Om herhaling te voorkomen, zijn de monitoring en controles op het releaseproces aangescherpt. Volgens de officiële verklaring betrof dit een breder probleem in de toeleveringsketen waarbij kwaadaardige code via vertrouwde ontwikkelaarstools werd gedistribueerd naar verschillende sectoren.

Bron 1

De Franse regering heeft een wetsvoorstel ingediend dat het gebruik van sociale media door jongeren onder de vijftien jaar moet verbieden. Indien het parlement instemt met de voorgestelde maatregelen, zal de wetgeving in september 2026 van kracht worden. Het juridische kader bestaat uit twee centrale componenten die de digitale leefwereld van minderjarigen beïnvloeden. Enerzijds wordt het voor online platforms en sociale mediadiensten verboden om personen jonger dan vijftien jaar als gebruiker toe te laten. Anderzijds omvat het voorstel een verbod op het gebruik van mobiele telefoons binnen instellingen voor het volledige voortgezet onderwijs.

De Franse autoriteiten motiveren de wetgeving vanuit de noodzaak om jongeren te beschermen tegen diverse online risico's. Hierbij wordt specifiek verwezen naar de negatieve impact van ongepaste content, cyberpesten en de gevolgen voor de mentale gezondheid. Deze stap sluit aan bij internationale ontwikkelingen op het gebied van digitale regulering. Eind 2024 introduceerde de Australische regering reeds een vergelijkbaar verbod, waarbij technologiebedrijven verantwoordelijk worden gehouden voor de naleving via strikte leeftijdsverificatie.

De Franse president Emmanuel Macron heeft eerder gepleit voor een uniforme leeftijdsgrens van vijftien jaar binnen de gehele Europese Unie. Volgens de regering beschikken technologiebedrijven over de technische middelen om effectieve leeftijdsverificatie toe te passen. Het wetsvoorstel legt de verantwoordelijkheid voor de handhaving dan ook expliciet bij de aanbieders van de digitale diensten, die bij niet-naleving sancties riskeren.

Bron 1, 2

In de Tweede Kamer is een debat ontstaan over de risico's van Chinese componenten in de Nederlandse energie-infrastructuur. Aanleiding is een miljoenenorder van de regionale netbeheerders Alliander, Enexis en Stedin voor nieuwe slimme meters. De opdracht voor de bijbehorende meetsensoren is gegund aan het Chinese Kaifa Technology, een bedrijf waarin het staatsbedrijf China Electronics Corporation een meerderheidsbelang heeft. De kwestie is extra actueel omdat de nieuwe Energiewet sinds 1 januari 2026 van kracht is, waardoor burgers verplicht zijn hun analoge meter te vervangen door een digitaal of slim exemplaar.

Netbeheer Nederland stelt dat de aanbesteding volgens de geldende Europese richtlijnen is uitgevoerd en dat er reeds producten van deze fabrikant in gebruik zijn. Volgens de netbeheerders worden er geregeld audits uitgevoerd waarbij nooit onregelmatigheden zijn geconstateerd. Zij benadrukken dat het hier gaat om een meetsensor zonder schakelaar of ingebouwde telecommunicatietechnologie. Desondanks hebben diverse politieke partijen, waaronder D66, CDA, VVD en ChristenUnie, om opheldering gevraagd. Recent heeft ook JA21 aanvullende vragen gesteld aan de demissionair ministers Van Oosten van Justitie en Veiligheid en Hermans van Klimaat over de mogelijke gevolgen voor de nationale veiligheid en de privacy van burgers.

De Kamerleden willen onder meer weten welke specifieke onderdelen van de slimme meter uit China afkomstig zijn en welke onderdelen in Nederland of de Europese Unie worden geassembleerd. Er wordt aan de bewindslieden gevraagd of zij slimme meters beschouwen als onderdeel van de vitale infrastructuur of als kritieke ketencomponenten. Een centraal punt in de vragenstelling is of manipulatie van meetwaarden, aanvallen op de toeleveringsketen of ongeautoriseerde toegang tot meterdata volledig kan worden uitgesloten. Indien dit niet het geval is, moet de overheid duidelijk maken welke mitigatieplannen er klaarliggen om deze risico's te beperken.

Daarnaast is er aandacht voor de gedwongen acceptatie van deze meters door burgers. Nu de vervanging van analoge meters verplicht is, wordt gevraagd hoe de overheid borgt dat consumenten niet worden blootgesteld aan risico's die niet transparant zijn beoordeeld. Ook de geopolitieke afhankelijkheid is onderwerp van zorg. Er wordt gevraagd naar uitgewerkte scenario's voor het geval dat leveringen, onderhoud of updates vanuit China wegvallen door internationale spanningen. De politiek dringt aan op een kader voor vertrouwde leveranciers voor vitale energiecomponenten om de continuïteit van het netbeheer te waarborgen. De ministers hebben drie weken de tijd om op de vragen te reageren.

Bron 1

Europa is de controle over het internet kwijtgeraakt aan Amerikaanse technologiebedrijven door een grote achterstand in de ontwikkeling van digitale infrastructuur. Miguel De Bruycker, directeur van het Centrum voor Cybersecurity België, stelt dat de Europese afhankelijkheid van de Verenigde Staten de innovatie en de digitale verdediging van het continent bemoeilijkt. Volgens de cybersecurity-expert is het door de dominantie van Amerikaanse spelers op het gebied van clouddiensten en kunstmatige intelligentie momenteel onmogelijk om data volledig binnen Europese grenzen te beheren.

De huidige marktsituatie maakt Europese ambities voor volledige digitale onafhankelijkheid onrealistisch. Omdat de digitale infrastructuur vrijwel volledig in handen is van private Amerikaanse ondernemingen, is de opslag van informatie binnen de Europese Unie afhankelijk van hun diensten. Hoewel deze situatie niet direct als een acuut beveiligingsprobleem wordt aangemerkt, zorgt het er wel voor dat Europa achterblijft bij de ontwikkeling van nieuwe technologieën die essentieel zijn voor het afweren van cyberaanvallen.

De Europese regelgeving wordt genoemd als een factor die de technologische ontwikkeling mogelijk remt. Specifieke wetgeving, zoals de AI Act, zou innovatie kunnen blokkeren. Er wordt gepleit voor een koerswijziging waarbij Europese overheden private initiatieven steunen om op EU-niveau schaalvergroting te realiseren in de cloudsector en bij digitale identificatiesystemen. Een gecoördineerde aanpak, vergelijkbaar met eerdere grootschalige Europese industriële samenwerkingen, wordt noodzakelijk geacht om een eigen positie in het digitale domein op te bouwen in plaats van enkel de focus te leggen op het beperken van Amerikaanse aanbieders.

De noodzaak voor sterke digitale systemen blijkt uit de toename van hybride aanvallen in de regio. België is sinds 2022 herhaaldelijk doelwit van golven van distributed denial-of-service (DDoS)-aanvallen die worden gelinkt aan pro-Russische actoren. Deze aanvallen, die vaak volgen op politieke verklaringen vanuit Brussel, zijn erop gericht diensten van overheden en bedrijven tijdelijk onbereikbaar te maken. Ondanks de wens voor meer autonomie, spelen Amerikaanse technologiebedrijven momenteel een sleutelrol bij het ondersteunen van de verdediging en het herstel van gegevens na dergelijke incidenten. De operationele samenwerking met deze partijen blijft essentieel voor de actuele digitale veiligheid in Europa.

Bron 1

De Amerikaanse zorgverlener OrthopedicsNY heeft een schikking getroffen met de procureur-generaal van de staat New York voor een bedrag van 500.000 dollar. De aanleiding voor deze schikking is een datalek uit 2023, waarbij aanvallers via een ransomware-aanval toegang kregen tot het interne netwerk. Bij dit incident werden de onversleutelde persoonlijke gegevens van meer dan 650.000 personen ontvreemd. De toegang tot de systemen werd verkregen door middel van gestolen inloggegevens van een medewerker.

Uit het onderzoek door de autoriteiten bleek dat de beveiligingsmaatregelen van de zorgverlener op cruciale punten tekortschoten. Zo werd er geen gebruikgemaakt van multifactorauthenticatie (MFA) voor toegang op afstand en waren de patiëntgegevens niet versleuteld. Daarnaast werden er geen periodieke risico-assessments uitgevoerd om de integriteit van de systemen te controleren. Voor 110.000 getroffenen omvatte de buitgemaakte informatie gevoelige data zoals social-securitynummers, rijbewijsnummers en paspoortgegevens, terwijl voor de rest van de slachtoffers zorggerelateerde informatie werd gestolen.

Naast de boete van een half miljoen dollar moet OrthopedicsNY direct verschillende structurele verbeteringen in de informatiebeveiliging doorvoeren. De organisatie is verplicht om multifactorauthenticatie in te stellen voor alle vormen van remote toegang. Tevens moet alle data die wordt verzameld, verwerkt of verzonden voortaan worden versleuteld. Dit geldt zowel voor de gegevens van patiënten als voor de gegevens van de eigen medewerkers. De exacte wijze waarop de inloggegevens in eerste instantie door de aanvallers zijn buitgemaakt, is niet door de partijen openbaar gemaakt.

Bron 1