Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365

In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.

npm supply chain: broncode vrijgegeven, aanvallen gaan door

Dreigingsactor TeamPCP plaatste in de vroege ochtend van 19 mei 2026 in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waaronder echarts-for-react (circa 1,1 miljoen wekelijkse downloads) en size-sensor. De aanval maakt deel uit van de Mini Shai-Hulud campagne, die eerder gericht was op Jenkins omgevingen en nu geautomatiseerd via gecompromitteerde accounts van maintainers werkt.

De kwaadaardige payload steelt meer dan 20 soorten inloggegevens, waaronder sleutels voor Amazon Web Services, Google Cloud, Microsoft Azure, GitHub, npm, SSH, Kubernetes en databaseverbindingen. Als exfiltratiemethode stuurt de malware verzamelde data via het domein t.m-kosche[.]com. Als alternatieve methode maakt de malware een publieke repository op GitHub aan onder het account van het slachtoffer en slaat data op als JSON bestand. Deze repositories zijn te herkennen aan de beschrijving 'niagA oG eW ereH :duluH-iahS', het achterstevoren gespelde 'Shai-Hulud Here We Go Again'. Op GitHub zijn al meer dan 2.200 van dergelijke repositories aangetroffen.

De situatie verslechterde na vrijgave van de broncode op BreachForums als onderdeel van een supply chain aanvalswedstrijd. Binnen kort na publicatie verschenen kopieën met een eigen commandoserver. De vrijgave verlaagt de drempel voor andere dreigingsactoren aanzienlijk. Organisaties die npm pakketten bijwerkten op 19 mei tussen 01:39 en 02:06 UTC worden geadviseerd de lockfile te controleren en alle inloggegevens te roteren die actief waren op de betreffende systemen.

MiniPlasma: beveiligingslek in Windows uit 2020 werkt nog steeds op volledig bijgewerkte systemen

Een cybersecurityonderzoeker die opereert onder de naam Chaotic Eclipse publiceerde op 18 mei 2026 een werkende exploit voor een beveiligingslek in Windows in de Cloud Filter driver (cldflt.sys), geregistreerd als CVE-2020-17103. De exploit, genaamd MiniPlasma, stelt elke lokale aanvaller in staat om volledige systeemrechten te verkrijgen op volledig bijgewerkte Windows 11 systemen, inclusief de meest recente Patch Tuesday updates van mei 2026. De exploit werkt niet op de Windows 11 Insider Preview Canary versie.

CVE-2020-17103 werd in september 2020 aan Microsoft gemeld door onderzoeker James Forshaw van Google Project Zero en naar verluidt opgelost in december 2020. BleepingComputer testte de exploit op een volledig bijgewerkt Windows 11 Pro systeem en bevestigde dat na uitvoering vanuit een standaard gebruikersaccount een opdrachtprompt met systeemrechten werd geopend.

MiniPlasma is de meest recente in een reeks zerodagpublicaties van dezelfde onderzoeker. In april publiceerde Chaotic Eclipse BlueHammer (CVE-2026-33825) en RedSun, gevolgd door een Windows Defender uitschakelingstool genaamd UnDefend. Afgelopen weken kwamen ook YellowKey, een bypass voor BitLocker voor Windows 11 en Windows Server 2022 en 2025, en GreenPlasma. Alle eerdere zerodagen werden na publicatie actief misbruikt.

De onderzoeker heeft verklaard de exploits publiek te maken als protest tegen het bug bounty programma van Microsoft. Totdat Microsoft een patch uitbrengt, is het principe van minimale rechten de enige praktische maatregel: aanvallers hebben lokale toegang nodig voordat ze MiniPlasma kunnen inzetten.

Microsoft 365 onder druk via SSPR kaping en sessiestiefstal via OAuth

Twee aanvalsmethoden richtten zich gelijktijdig op Microsoft 365 en Azure omgevingen, elk via een ander aanvalspad.

Storm-2949 is een dreigingsactor die zich via social engineering richt op medewerkers met geprivilegieerde rollen, zoals IT-personeel en leden van het senior management. De actor neemt contact op als valse helpdeskmedewerker en overtuigt het doelwit een wachtwoordherstelproces via de selfservicemodule van Microsoft Entra te doorlopen. Na goedkeuring van de MFA prompt verwijdert Storm-2949 de MFA controles en schrijft een eigen authenticator in. Via de Microsoft Graph API worden gebruikers, rollen en applicaties geïnventariseerd. Vervolgens zoeken de aanvallers in OneDrive en SharePoint naar VPN configuraties. In gedocumenteerde gevallen werd via de webinterface van OneDrive duizenden bestanden in één handeling gedownload. De aanval werd uitgebreid naar Azure Key Vaults, SQL Servers en opslagaccounts. Op gecompromitteerde systemen werd ScreenConnect ingezet voor blijvende toegang.

EvilTokens is een phishing als dienst platform dat in vijf weken in februari 2026 meer dan 340 Microsoft 365-organisaties in vijf landen compromitteerde. De aanval onderschept het OAuth sessietoken na een geslaagde MFA verificatie. Er wordt geen wachtwoord gestolen en er verschijnt geen logingebeurtenis in de auditlogs. Een wachtwoordwijziging maakt het gestolen sessietoken niet ongeldig: alleen het intrekken van de verleende OAuth toestemming heft de toegang op. Beveiligingsonderzoekers omschrijven de aanvalsmethode als 'consent phishing'.

Organisaties die Microsoft 365 gebruiken worden geadviseerd om voor SSPR risicogebaseerd beleid in te stellen, phishingresistente methoden te vereisen voor geprivilegieerde rollen en OAuth toestemmingen te beoordelen op actieve refresh tokens die langer geldig zijn dan noodzakelijk. Conditional Access in combinatie met doorlopende toegangsevaluatie verkleint het venster voor aanvallers aanzienlijk.

The Gentlemen ransomware: interne inbraak en 1.570 slachtoffers

The Gentlemen is een ransomwaregroep die inmiddels meer dan 352 aanvallen heeft geclaimd in meer dan 70 landen, met een focus op professionele diensten, productie, technologie en de zorgsector. De groep heeft banden met het Qilin ecosysteem en opereert als ransomware als dienst waarbij gelieerde partijen negentig procent van het betaalde losgeld ontvangen. Slachtoffers ontvangen een losgeldbriefje met de bestandsnaam READMEGENTLEMEN.txt. De groep opereert onder de alias "hastalamuerte" en maakt gebruik van SystemBC malware voor toegang op afstand.

Op 16 mei 2026 werd The Gentlemen officieel partner van BreachForums, het ondergrondse forum waar eerder in dezelfde week ook de broncode van de Shai-Hulud supply chain worm werd gepubliceerd. Onderzoekers van Check Point Research wisten de infrastructuur van de groep te infiltreren en identificeerden meer dan 1.570 waarschijnlijke slachtoffers. Het werkelijke aantal getroffen organisaties ligt daarmee aanzienlijk hoger dan de 352 claims op het eigen portaal.

Nederlandse en Belgische organisaties in de maakindustrie en de zorgsector lopen een verhoogd risico. Eerdere slachtoffers van The Gentlemen en de achtergrond van de groep werden besproken in S02E58.

De belangrijkste punten

- Mini Shai-Hulud npm-campagne publiceerde in 22 minuten 639 kwaadaardige versies van 323 pakketten: steelt meer dan 20 soorten inloggegevens, exfiltreert via repositories op GitHub met omgekeerde beschrijving

- Broncode Shai-Hulud vrijgegeven op BreachForums als supply chain aanvalswedstrijd: kopieën met een eigen commandoserver verschenen direct, drempel voor nieuwe actoren verlaagd

- MiniPlasma exploit werkt op volledig bijgewerkt Windows 11 met mei 2026 patches: CVE-2020-17103 in Cloud Filter driver, PoC gepubliceerd op GitHub, lokale aanvaller verkrijgt systeemrechten

- Chaotic Eclipse publiceerde inmiddels zes Windows zerodagen: BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma en MiniPlasma, alle eerdere zijn actief misbruikt na publicatie

- Storm-2949 kaapte Azure omgevingen via social engineering reset via SSPR: Key Vaults, SQL databases en opslagaccounts geexfiltreerd, ScreenConnect voor persistentie

- EvilTokens compromitteerde 340 Microsoft 365-organisaties in vijf weken: sessietoken gestolen na geslaagde MFA, geen logingebeurtenis zichtbaar in logs, wachtwoordwijziging biedt geen bescherming

- The Gentlemen ransomwaregroep officieel partner van BreachForums: meer dan 352 claims in 70 landen, 1.570 waarschijnlijke slachtoffers geïdentificeerd door Check Point Research, link aan Qilin ecosysteem, actief in zorgsector en maakindustrie

- DigiD fraude bij Belastingdienst: circa 6,7 miljoen euro schade: Bulgaarse inwoners misbruikten DigiD accounts van anderen via circa 900 nieuwe bankrekeningen voor valse belastingteruggaven, Staatssecretaris Eerenberg informeerde Tweede Kamer

- CISA datalek via publieke repository op GitHub: 844 MB AWS GovCloud tokens blootgesteld: Entra ID SAML certificaten en wachtwoorden in platte tekst gelekt, AWS tokens bleven 48 uur geldig na verwijdering

- Nederlandse politie roept Meta op tot aanpak criminele advertenties: 535 malafide webwinkels aangemerkt, 273 adverteerden op Facebook en Instagram

- AirdropAlert.com Rotterdam vermeend getroffen door datalek: cryptoplatform actief sinds 2017, dataset zou walletadressen en social media identifiers bevatten, authenticiteit niet bevestigd

- Politiezone Noord-Limburg waarschuwt voor quishing op terrassen en parkeerautomaten: valse QR stickers over legitieme codes, bankgegevens worden gestolen, melden via Card Stop 078 170 170

Lees ook

- ► S02E59: Ledger post, Apple M5 kernel exploit en LockBit Stahlwille - achtergrond bij recente campagnes die fysieke post en AI combineren als aanvalsvector

- ► S02E57: Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline - eerdere fase van de TeamPCP supply chain campagne via Jenkins

- ► S02E58: INT geclaimd, Clinical Diagnostics en Kamervragen Canvas - The Gentlemen ransomwaregroep en druk op Nederlandse en Belgische organisaties

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam