S02E38
De supply chain campagne van TeamPCP breidt zich razendsnel uit en heeft inmiddels vijf grote softwareprojecten vergiftigd in anderhalve week. Een kritieke zero-day in Telegram maakt het mogelijk om apparaten over te nemen door simpelweg een sticker te ontvangen. De Iraanse hackersgroep Handala hackte de persoonlijke e-mail van de directeur van de FBI Kash Patel, en de Europese Commissie bevestigde een inbraak waarbij honderden gigabytes aan data zijn buitgemaakt.
Supply chain campagne escaleert in recordtempo
De dreigingsactor TeamPCP heeft in anderhalve week tijd een keten van compromissen opgebouwd die zijn weerga niet kent. Na de backdoor in beveiligingsscanner Trivy op 19 maart volgden 46 npm pakketten, de GitHub Actions van Checkmarx, het populaire Python pakket LiteLLM en op 27 maart het nieuwste slachtoffer, de officiële Telnyx Python SDK op PyPI.
Het patroon is steeds hetzelfde. TeamPCP compromitteert een vertrouwde developer tool, steelt de CI/CD credentials die het blootstelt en gebruikt die om het volgende doelwit in de keten te vergiftigen. De volledige tijdlijn toont de snelheid van de campagne. Op 19 maart werd Trivy gebackdoord via 75 van de 77 trivy-action tags op GitHub, waarna gestolen npm tokens werden gebruikt om op 20 maart 46 npm pakketten te infecteren. Op 22 maart volgde WAV steganografie in een Kubernetes wiper variant, op 23 maart werden GitHub Actions van Checkmarx gecompromitteerd, op 24 maart LiteLLM en op 27 maart Telnyx.
Bij Telnyx werden versies 4.87.1 en 4.87.2 stilzwijgend gemanipuleerd. De kwaadaardige code wordt uitgevoerd zodra het pakket wordt geïmporteerd. Op Windows downloadt de payload een WAV bestand dat via steganografie een versleutelde executable bevat. Op Linux en macOS wordt een compleet aanvalsscript als base64 blob meegeleverd dat via AES 256 versleuteling en RSA 4096 encryptie alle gestolen data naar de aanvaller stuurt.
CISA heeft de Trivy kwetsbaarheid, CVE-2026-33634, inmiddels toegevoegd aan de catalogus van actief misbruikte kwetsbaarheden met een hersteldatum van 9 april. De ernst van deze campagne zit niet in een enkele aanval, maar in het dominoeffect. Elke gecompromitteerde tool geeft toegang tot tientallen nieuwe omgevingen en credentials, waardoor de keten exponentieel groeit. Organisaties die een van deze tools gebruiken zonder versie pinning moeten hun omgeving als gecompromitteerd beschouwen en alle blootgestelde credentials direct roteren.
Europese instellingen en hackforums onder vuur
De Europese Commissie bevestigde dat haar webplatform is getroffen door een cyberaanval waarbij data is buitgemaakt. De aanvallers beweren via een gecompromitteerd AWS account toegang te hebben gekregen tot meerdere databases en 350 gigabyte aan informatie, waaronder gegevens van medewerkers en toegang tot een mailserver. De Commissie onderzoekt nog om welke data het precies gaat.
De hackersgroep ShinyHunters claimde kort daarna verantwoordelijk te zijn voor de aanval en breidde de claim uit naar ENISA, het Europees Agentschap voor Cyberbeveiliging, en het DG voor Digital Services. Volgens ShinyHunters omvat de buit e-mails met bijlagen, een volledige SSO gebruikersdirectory, DKIM signing keys, AWS configuratie snapshots en admin URLs. De omvang van deze claims is nog niet onafhankelijk geverifieerd.
Tegelijkertijd imploderen de hackforums. BreachForums versie 5 werd zelf gehackt, waarbij 340.000 unieke e-mailadressen en met Argon2 gehashte wachtwoorden zijn gelekt. ShinyHunters, de groep die het originele BreachForums ooit leidde, dumpte aanvullend een database met meer dan 300.000 gebruikersprofielen inclusief IP adressen, sessietokens en Telegram handles. De groep verklaarde alle huidige versies van BreachForums als nep te beschouwen en dreigde met het vrijgeven van nog meer data. Ze claimen ook exploits te bezitten voor MyBB, de forumsoftware die door veel van deze platforms wordt gebruikt.
FBI gehackt en kritieke Telegram zero-day
De Iraanse hackersgroep Handala hackte de persoonlijke Gmail van de directeur van de FBI Kash Patel. De FBI bevestigde het incident en verklaarde dat de gestolen data geen geheime of overheidsinformatie bevat. Handala publiceerde foto's en documenten uit het account, waaronder een screenshot van Patels CV met zijn volledige adres, telefoonnummer en details over zijn veiligheidsmachtiging. De authenticiteit van dat document is niet onafhankelijk geverifieerd.
De aanval was volgens Handala een reactie op het in beslag nemen van hun domeinen door de FBI en de beloning van 10 miljoen dollar die de Amerikaanse overheid uitloofde voor informatie over de groep. Handala is actief sinds eind 2023 en wordt gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid. De groep voerde eerder aanvallen uit op Stryker en Verifone en claimde ook verstoringen in point of sale systemen bij Amerikaanse winkelketens.
Onderzoekers van Trend Micro's Zero Day Initiative ontdekten ondertussen een kritieke kwetsbaarheid in Telegram voor Android en Linux. De kwetsbaarheid, ZDI-CAN-30207, heeft een CVSS score van 9.8 en maakt het mogelijk om op afstand code uit te voeren zonder enige gebruikersinteractie. De aanvalsvector is opmerkelijk, namelijk via speciaal vervaardigde geanimeerde stickers. Zodra het mediabestand wordt ontvangen, wordt automatisch kwaadaardige code uitgevoerd. Er hoeft niets geopend of aangeklikt te worden. Telegram ontkent dat de kwetsbaarheid bestaat en stelt dat alle stickers server-side worden gevalideerd. Er is nog geen patch beschikbaar en de technische details worden pas na 24 juli 2026 openbaar gemaakt.
Nieuwe dreigingen en Nederlandse actualiteit
Een nieuwe malware genaamd Infinity Stealer richt zich op macOS systemen via de ClickFix techniek. Onderzoekers van Malwarebytes noemen het de eerste gedocumenteerde macOS campagne die ClickFix combineert met een Python infostealer gecompileerd via de Nuitka compiler. De aanval begint met een valse Cloudflare verificatiepagina die gebruikers misleidt om een curl commando in de Terminal te plakken. De malware kan vervolgens browsergegevens, Keychain entries, cryptocurrency wallets en developer bestanden stelen.
Windows wordt ook veiliger gemaakt. Microsoft kondigde aan dat Windows 11 en Windows Server 2025 vanaf april standaard kernel drivers blokkeren die zijn ondertekend via het afgeschafte cross-signed root programma. Alleen drivers die zijn gecertificeerd via het Windows Hardware Compatibility Program worden nog automatisch geladen. Het programma werd al in 2021 afgeschaft, maar tot nu toe bleven de legacy certificaten vertrouwd.
In Nederland en België blijven de gevolgen van het Odido datalek voelbaar. De Fraudehelpdesk waarschuwde voor neptelefoontjes waarbij oplichters beweren dat slachtoffers recht hebben op compensatie vanwege het datalek. Na het doorgeven van een verificatiecode werden eSIMs geactiveerd of accounts overgenomen. In Belgische tankstations in Maldegem en Schoten werden minstens twintig klanten slachtoffer van shimming fraude, waarbij criminelen de betaalterminals hackten om betalingen te onderscheppen.
Minister Karremans waarschuwde de Tweede Kamer dat slimme elektrische auto's risico's vormen voor sabotage en spionage. Vervolgonderzoek van TNO bevestigt dat het huidige Europese stelsel van voertuigtoelating tekortschiet op cybersecurity. Een van de voorgestelde maatregelen is het weren van dergelijke voertuigen van defensieterreinen wanneer het dreigingsniveau dat vereist. De minister kondigde aan zich in te zetten om cybersecurity een grotere rol te geven bij de toelating van voertuigen in de EU. Veel details uit het onderzoek kunnen vanwege nationale veiligheidsrisico's niet openbaar worden gemaakt.
Het Europees Parlement stemde tegen de verlenging van regels die techbedrijven toestaan hun diensten te scannen op materiaal van seksueel misbruik van kinderen. Hoewel wetshandhavers en grote techbedrijven als Google, Microsoft en Meta waarschuwden voor de gevolgen, vonden 311 parlementariërs de privacybezwaren zwaarder wegen. Europol waarschuwt voor een ernstige daling van het aantal meldingen dat autoriteiten bereikt.
De belangrijkste punten
- TeamPCP supply chain: Vijf grote softwareprojecten vergiftigd in anderhalve week via credential chaining, Trivy toegevoegd aan CISA KEV catalogus
- Europese Commissie gehackt: 350 GB data gestolen via gecompromitteerd AWS account, ShinyHunters claimt ook ENISA
- Directeur FBI gehackt: Iraanse groep Handala hackte persoonlijke Gmail van Kash Patel, FBI bevestigt incident
- Telegram zero-day: CVSS 9.8 kwetsbaarheid maakt apparaatovername mogelijk via geanimeerde sticker, geen patch beschikbaar
- BreachForums implodeert: V5 gehackt (340K accounts), ShinyHunters dumpt 300K gebruikersprofielen en dreigt met meer
- Infinity Stealer: Eerste macOS campagne die ClickFix en Nuitka compiler combineert voor gerichte diefstal
- Odido nawerking: Fraudehelpdesk waarschuwt voor neptelefoontjes over compensatie, oplichters activeren e-sims
Lees ook
- S02E35: Odido finale, 6,1 miljoen op straat, overheid kwetsbaar - Achtergrond bij het Odido datalek waarvan de gevolgen blijven groeien
- Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt - Hoe criminelen lekdata combineren voor gerichte aanvallen
- ClickFix explodeert, Belgische data op straat en NAVO alarm - Eerdere rapportage over de ClickFix techniek die nu macOS bereikt
- Supply chain aanvallen nemen toe - Waarom supply chain aanvallen zo effectief zijn
Mis geen enkel Cyber Journaal - schrijf je in
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.