Supply chain onder vuur, wipers treffen multinationals

Drie onafhankelijke supply chain campagnes treffen gelijktijdig ontwikkelaarsplatforms, een Iraanse hacktivistengroep wipt medisch technologiebedrijf Stryker uit 79 landen en Microsoft brengt de grootste Patch Tuesday van het jaar uit met 83 kwetsbaarheden. Het journaal bestrijkt het nieuws van 11 en 12 maart 2026.

Drie supply chain campagnes in één week

De afgelopen dagen onthulden onderzoekers drie afzonderlijke supply chain campagnes die softwareontwikkelaars als doelwit hebben, elk via een andere aanvalsvector maar met hetzelfde doel, namelijk het stelen van credentials en het verkrijgen van diepere toegang tot bedrijfsomgevingen.

De meest ingrijpende aanval werd gedocumenteerd door Google in het Cloud Threat Horizons Report voor de eerste helft van 2026. Dreigingsactor UNC6426 compromitteerde het populaire nx npm pakket via een kwetsbare pull_request_target workflow. Het getrojaniseerde pakket bevatte een credential stealer genaamd QUIETVAULT die omgevingsvariabelen en tokens verzamelde. Via een gestolen GitHub token escaleerde UNC6426 binnen 72 uur naar volledige AWS administrator rechten en voerde datadiefstal en destructie uit in productieomgevingen. De aanvallers maakten gebruik van een taalmodel dat al op het systeem van de ontwikkelaar was geïnstalleerd om gevoelige data te extraheren.

Tegelijkertijd bleef de PhantomRaven campagne actief op npm. Applicatie security bedrijf Endor Labs documenteerde drie nieuwe aanvalsgolven tussen november 2025 en februari 2026, met 88 kwaadaardige pakketten verspreid via 50 wegwerpaccounts. De aanvallers gebruiken een techniek genaamd Remote Dynamic Dependencies, waarbij de malware pas wordt gedownload wanneer een ontwikkelaar het pakket installeert. Van de 259 ontdekte PhantomRaven pakketten zijn er nog 81 beschikbaar in de npm registry.

Op crates.io ontdekten onderzoekers van Socket vijf malafide Rust pakketten die zich voordeden als tijdgerelateerde hulpmiddelen. De pakketten, gepubliceerd onder namen als chrono_anchor en chrono_sync, stelen .env bestanden met API sleutels en tokens uit ontwikkelomgevingen. Daarnaast scande een geautomatiseerde bot genaamd hackerbot-claw publieke GitHub repositories op misconfigureerde Actions workflows. De bot compromitteerde onder meer de Trivy security scanner van Aqua Security en pushte een getrojaniseerde Visual Studio Code extensie die lokale AI coding assistants inzette om gevoelige informatie te exfiltreren.

Wipers en datalekken treffen Europa

Een Iraanse hacktivistengroep richtte deze week de grootste schade aan. De aan het Iraanse Ministerie van Inlichtingen gelinkte groep Handala claimt via Microsoft Intune data te hebben gewist van meer dan 200.000 systemen bij medisch technologiebedrijf Stryker. Het bedrijf, met 56.000 werknemers in 79 landen, stuurde meer dan 5.000 medewerkers in Ierland naar huis. Volgens bronnen bij KrebsOnSecurity misbruikten de aanvallers de beheertool Intune om een remote wipe opdracht uit te voeren op alle verbonden apparaten. Stryker bevestigde een "wereldwijde netwerkverstoring van de Microsoft omgeving als gevolg van een cyberaanval." Palo Alto Networks profileerde Handala recent als dekmantel voor Void Manticore, een aan de Iraanse staat gelieerde actor die sinds eind 2023 actief is.

Dichter bij huis meldde hotelketen Bastion Hotels een datalek waarbij persoonlijke gegevens van circa 6.000 gasten zijn buitgemaakt. Een medewerker klikte op een phishingmail die naar een nagemaakte reserveringspagina leidde. De gelekte data omvat namen, telefoonnummers, adresgegevens en de laatste vier cijfers met vervaldatum van creditcards. Oplichters benaderden slachtoffers al via WhatsApp en sms met verzoeken om gegevens te verifiëren via een meegestuurde link. Het datalek betreft zeven vestigingen, van Almere tot Apeldoorn. In S02E30 bespraken we hoe ShinyHunters via Salesforce misconfiguraties miljoenen klantgegevens van onder meer Odido buitmaakte. Salesforce zelf bracht deze week een officiële waarschuwing uit over toenemend misbruik van gastgebruikersprofielen in Experience Cloud.

Op het darkweb lekte dezelfde dreigingsactor ByteToBreach in twee dagen de volledige broncode van het Zweedse overheidsplatform via gecompromitteerde CGI Sverige infrastructuur, inclusief Jenkins credentials en SSH sleutels. Een dag eerder publiceerde ByteToBreach al passagiersgegevens en betalingsinformatie van de Finse ferrymaatschappij Viking Line, verkregen via een Solr kwetsbaarheid uit 2021. De Zweedse overheid onderzoekt het incident samen met CERT-SE.

Patch Tuesday en actief misbruikte lekken

Microsoft repareerde 83 kwetsbaarheden in de Patch Tuesday van maart, waarvan acht kritiek. Bijzonder zorgwekkend is CVE-2026-26110, een type confusion kwetsbaarheid in Microsoft Office met een CVSS score van 8.4. Het Windows Preview Pane is een bevestigde aanvalsvector, wat betekent dat het simpelweg selecteren en bekijken van een kwaadaardig document in Verkenner voldoende is om gecompromitteerd te raken, zonder het bestand te openen. De kwetsbaarheid treft Office 2016 tot en met 365 Apps for Enterprise op Windows, Mac en Android. Microsoft meldt dat er nog geen actief misbruik is waargenomen, maar beveelt onmiddellijk patchen aan.

CISA waarschuwde voor actief misbruik van een kritiek lek in workflowautomatiseringstool n8n. CVE-2025-68613 heeft een CVSS score van 9.9 en maakt remote code execution mogelijk via het expression evaluation systeem. Het Zerobot botnet, gebaseerd op Mirai, misbruikt het lek actief en er is een publieke exploit beschikbaar. Slechts een gebruikerslogin is vereist voor volledige compromittering.

Apple bracht noodpatches uit voor oudere iPhones en iPads tegen vier kwetsbaarheden die actief worden misbruikt door meerdere groepen. Google waarschuwde dat een exploitkit van een spywareleverancier in handen is gekomen van zowel een spionagegroep als een financieel gemotiveerde criminele groep. Het bezoeken van een gehackte website met een kwetsbaar apparaat is voldoende om besmet te raken. Apple bracht iOS 15.8.7 en 16.7.15 uit voor apparaten tot en met iPhone X.

Google Chrome 146 dichtte 29 kwetsbaarheden, waaronder een kritieke heap buffer overflow in de WebML component. In totaal keerde Google meer dan 150.000 dollar aan bug bounties uit voor deze ronde. Onderzoekers van Ledger onthulden daarnaast een hardwarematige kwetsbaarheid in de MediaTek Dimensity 7300 chipset waarmee een fysieke aanvaller binnen 45 seconden de PIN van een Android telefoon kan extraheren en cryptocurrency wallets kan leeghalen.

De belangrijkste punten

- UNC6426 escaleert npm token naar AWS admin in 72 uur: Google documenteert hoe één gecompromitteerd pakket een hele cloudomgeving platlegde

- Handala wipt 200.000 Stryker systemen via Intune: Iraanse hacktivisten misbruiken beheertool voor destructieve aanval in 79 landen

- Bastion Hotels lekt gegevens van 6.000 gasten: phishing leidt tot oplichting via WhatsApp en sms nog dezelfde week

- CVE-2026-26110 treft alle Microsoft Office versies: Preview Pane als aanvalsvector, zonder klik of interactie

- 81 malafide PhantomRaven pakketten nog op npm: supply chain campagne draait maanden ongestoord door

- Apple en CISA waarschuwen voor actief misbruik: oude iPhones en n8n servers worden actief aangevallen

Lees ook

- S02E30: Ransomware op recordhoogte en Nederland in het vizier - NCC Group telde 7.874 ransomware incidenten in 2025 en ShinyHunters dreigt 400 organisaties via Salesforce

- S02E29: Phishing wordt onzichtbaar, beheertools worden wapens - Huntress documenteert 277 procent meer misbruik van beheertools en de eerste gestolen Odido data verschijnt online

- Odido hack treft miljoenen, AI als wapen en supply chain - Achtergrond bij de supply chain dreiging en het Odido datalek

- Wanneer een schakel in de keten breekt - Uitleg over de impact van cyberincidenten in de supply chain

Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief

Volg het Cyber Journaal ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam