GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA

In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.

TeamPCP: GitHub bevestigt inbraak via kwaadaardige VS Code extensie

GitHub heeft bevestigd dat dreigingsactor TeamPCP op 18 mei 2026 via de VS Code extensie nrwl.angular-console, onderdeel van het Nx Console pakket, toegang verkreeg tot interne repositories. Tussen 12:30 en 12:48 UTC werden 3.800 interne repositories gekopieerd in achttien minuten. De extensie was voorzien van een kwaadaardige payload die authenticatietokens exfiltreerde en doorstuurde naar een door de aanvaller beheerde server.

De inbraak is een nieuwe escalatie van de bredere TeamPCP supply chain campagne. Onderzoekers van Unit 42 documenteerden dat de groep in april 2026 twee afzonderlijke campagnes uitvoerde via het npm ecosysteem. In mei 2026 volgden twee nieuwe golven, waarbij de Shai Hulud worm voor het eerst persistentie in CI/CD pipelines realiseerde. Aanvallen via CI/CD pipelines geven aanvallers toegang tot alle repositories die via de pipeline worden gebouwd, inclusief productieomgevingen.

De npm variant van de Shai Hulud campagne, waarbij in 22 minuten 639 kwaadaardige versies van 323 pakketten werden gepubliceerd, werd besproken in het vorig Cyber Journaal. De GitHub variant toont dat TeamPCP meerdere aanvalsketens parallel uitvoert. Het gecombineerde effect is een aanval op de gehele softwareontwikkelketen, van pakketbeheer tot broncodeopslag en ontwikkelomgeving.

Organisaties die VS Code gebruiken in hun ontwikkelomgeving wordt geadviseerd de geïnstalleerde extensies te controleren op extensies met brede bestandssysteemrechten of toegang tot authenticatietokens. Extensies die onverwacht zijn bijgewerkt in de periode rond 18 mei 2026 verdienen specifieke aandacht.

► Flinke stijging in cyberaanvallen via browserextensies - achtergrond bij het misbruik van extensies als aanvalsvector

Verizon DBIR 2026: kwetsbaarheidsexploitatie voor het eerst op eerste plaats

Het Verizon Data Breach Investigations Report 2026 analyseerde ruim 31.000 incidenten en meer dan 22.000 bevestigde datalekken wereldwijd. Voor het eerst staat kwetsbaarheidsexploitatie op de eerste plaats als aanvangsmethode bij datalekken, verantwoordelijk voor 31 procent van alle gevallen. In eerdere edities van het rapport bezetten gestolen inloggegevens en phishing de bovenste posities.

Het rapport signaleert drie aanvullende trends. Het aandeel van shadow AI, ongeautoriseerd gebruik van AI tools door medewerkers zonder medeweten van de IT afdeling, steeg van 15 naar 45 procent in de onderzochte organisaties. Het aantal aanvallen via derden, zoals leveranciers en externe dienstverleners, nam toe met 60 procent en vertegenwoordigt nu 48 procent van alle datalekken. Verder concludeert het rapport dat AI aanvallers in staat stelt om de doorlooptijd van een phishing campagne terug te brengen van maanden naar uren.

De combinatie van kwetsbaarheidsexploitatie als dominante aanvalsvector en de stijging van aanvallen via derden heeft directe gevolgen voor organisaties die gebruik maken van externe softwareontwikkelaars of clouddiensten. Een ongepatchte kwetsbaarheid bij een leverancier biedt aanvallers een ingang die buiten de directe controle van de afnemer ligt.

Voor organisaties in de Benelux zijn twee elementen bijzonder relevant. De stijging van aanvallen via derden sluit rechtstreeks aan bij het incident bij IOK Afvalbeheer Beerse (zie hieronder). De toename van shadow AI is van belang voor organisaties die AI tools hebben uitgerold zonder centraal beleid voor gegevensclassificatie en toegangsbeheer.

SonicWall CVE-2024-12802 actief misbruikt in ransomware keten

CVE-2024-12802 is een kwetsbaarheid in de SSL/VPN functionaliteit van SonicWall apparaten waarmee een aanvaller de MFA omzeilt. De aanval maakt gebruik van een speciaal geformatteerde gebruikersnaam die SonicWall verwerkt als een alternatieve aanmeldvorm. Door dit mechanisme slaagt een inlogpoging ook wanneer de tweede verificatiefactor niet wordt aangeboden.

Onderzoekers van ReliaQuest documenteerden actief misbruik van deze kwetsbaarheid in de periode van februari tot en met maart 2025. Aanvallers gebruikten de kwetsbaarheid als beginpunt voor ransomware campagnes waarbij na initiële toegang het netwerk werd doorzocht op aanvullende systemen. SonicWall Gen 6-apparaten zijn bijzonder kwetsbaar: de fabrikant beëindigde de ondersteuning voor deze apparatenreeks op 16 april 2026, wat betekent dat er geen beveiligingsupdates meer worden uitgebracht.

Organisaties met Gen 6-apparaten kunnen de kwetsbaarheid niet via een softwareupdate corrigeren. Tijdelijke maatregelen zijn het beperken van externe toegang tot het beheerinterface en het opleggen van aanvullende netwerkbeveiligingslagen voor VPN verbindingen. Op langere termijn vereist de situatie hardwarevervanging.

SonicWall apparaten werden eerder besproken in het Cyber Journaal in relatie tot de Akira ransomwaregroep, die soortgelijke kwetsbaarheden gebruikte als aanvangspunt.

► Fysioroadmap datalek en Akira ransomware breekt MFA van SonicWall VPN - eerdere SonicWall kwetsbaarheden in de context van de Akira ransomwaregroep

Benelux: IOK Afvalbeheer Beerse en dataset Belgische burgers

IOK Afvalbeheer Beerse, de intercommunale afvalbeheerder in de Belgische Kempen, meldde een cyberaanval via een externe leverancier. De dienstverlening van het recyclagepark werd als gevolg hiervan tijdelijk verstoord. Details over de aard van de aanval en de identiteit van de betrokken leverancier zijn op het moment van publicatie niet bekendgemaakt. Het incident illustreert het risico van externe leverancierstoegang tot operationele systemen, een patroon dat het Verizon DBIR 2026 ook aanwijst als sterk groeiende aanvalsvector.

Op 21 mei 2026 plaatste een gebruiker op een underground forum een dataset die naar eigen zeggen persoonsgegevens van Belgische burgers bevat. De authenticiteit van de dataset is niet onafhankelijk geverifieerd. Datasets die op ondergrondse fora worden aangeboden bevatten geregeld misleidende beschrijvingen, gedeeltelijk verouderde gegevens of combinaties van eerder gelekte datasets. Verificatie door de Belgische toezichthouder of betrokken organisaties is afgewacht.

Google API sleutels 23 minuten actief na verwijdering

Onderzoekers van Aikido Security onderzochten hoe lang API sleutels na intrekking of verwijdering nog geldig blijven binnen de Google infrastructuur. In het langste gemeten geval bleef een API sleutel 23 minuten actief nadat deze al als verwijderd was gemarkeerd. Aikido testte dit in drie Google Cloud regio's en vond in alle gevallen een aanzienlijk venster tussen intrekking en daadwerkelijke ongeldigverklaring.

Google reageerde op het onderzoeksrapport met een "won't fix" standpunt. De vertraging is het gevolg van de tijd die nodig is om intrekkingslijsten te distribueren naar alle infrastructuurknooppunten wereldwijd. Voor aanvallers die eenmalig een API sleutel buitmaken betekent dit een venster van 15 tot 25 minuten om gegevens te exfiltreren nadat het slachtoffer de sleutel al als onbruikbaar beschouwt.

De praktische implicatie is dat het intrekken van een API sleutel na een verdachte gebeurtenis geen onmiddellijke bescherming biedt. Bij forensisch onderzoek na een incident moet rekening worden gehouden met dit tijdvenster bij het vaststellen van de schade. Organisaties met gevoelige API integraties doen er verstandig aan intrekking te combineren met directe monitoring van activiteit op de betrokken eindpunten.

De belangrijkste punten

- GitHub bevestigde inbraak door TeamPCP via VS Code extensie nrwl.angular-console: 3.800 interne repositories gekopieerd op 18 mei 2026 tussen 12:30 en 12:48 UTC, in achttien minuten

- Shai Hulud worm breidde zich in mei 2026 uit met twee nieuwe golven via CI/CD pipeline persistentie: TeamPCP voerde in april en mei 2026 vier campagnes uit via npm en GitHub en raakt daarmee de gehele softwareontwikkelketen

- Verizon DBIR 2026: kwetsbaarheidsexploitatie voor het eerst op eerste plaats met 31 procent van alle datalekken, gebaseerd op analyse van ruim 31.000 incidenten en meer dan 22.000 bevestigde datalekken

- Shadow AI in organisaties gestegen van 15 naar 45 procent en aanvallen via externe leveranciers namen toe met 60 procent, aldus het Verizon DBIR 2026

- SonicWall CVE-2024-12802 actief misbruikt als beginpunt voor ransomware: Gen 6-apparaten ontvangen geen patches meer na beëindiging van de ondersteuning op 16 april 2026

- IOK Afvalbeheer Beerse getroffen via externe leverancier: recyclagepark verstoord, aanvalsdetails nog niet bekendgemaakt

- Dataset Belgische burgers aangeboden op underground forum op 21 mei 2026: authenticiteit niet onafhankelijk geverifieerd

- Google API sleutels blijven tot 23 minuten geldig na intrekking in het langste gemeten geval, Google accepteert dit als "won't fix" (onderzoek Aikido Security in drie Cloud regio's)

Lees ook

- ► S02E60: Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365 - npm variant van de Shai Hulud supply chain campagne en eerdere TeamPCP activiteit

- ► S02E57: Odido ShinyHunters aanval, TeamPCP Jenkins en INT offline - eerdere fase van de TeamPCP campagne via Jenkins omgevingen

- ► S01E41: Fysioroadmap datalek en Akira ransomware breekt MFA van SonicWall VPN - eerdere SonicWall kwetsbaarheden in de context van de Akira ransomwaregroep

Wil je dagelijks cyberdreigingen volgen? Schrijf je gratis in voor de Dreigingsradar dagelijkse alert van onze partner Digiweerbaar, met actuele incidenten en kwetsbaarheden uit Nederland en België. Voor CISO's en IT managers is er het betaalde Cyberdreigingsrapport van partner Digiweerbaar met dagelijkse en wekelijkse verdieping.

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam