Actuele Cyberaanvallen

• Naar pagina

• Naar pagina

• Naar pagina

• Naar pagina

Onderzoekers op het gebied van cyberbeveiliging hebben details openbaar gemaakt over een nieuwe variant van de Shai-Hulud malware die is aangetroffen in de npm-registry. Daarnaast is er een kwaadaardig pakket geïdentificeerd op Maven Central dat zich voordeed als een legitieme bibliotheek om gevoelige gegevens te stelen en malware te verspreiden. Beide incidenten tonen aan hoe aanvallers vertrouwde afhankelijkheden misbruiken in de softwareketen.

Het npm-pakket dat de nieuwe Shai-Hulud variant bevat, draagt de naam @vietmoney/react-big-calendar. Dit pakket werd oorspronkelijk in maart 2021 geüpload door een gebruiker genaamd hoquocdat, maar ontving op 28 december 2025 een update naar versie 0.26.2. Hoewel het pakket in totaal 698 keer is gedownload, is de laatste versie 197 keer binnengehaald. Beveiligingsonderzoekers melden dat er nog geen grote verspreiding of infecties zijn waargenomen, wat suggereert dat de aanvallers hun payload waarschijnlijk aan het testen waren. Uit analyse van de code blijkt dat deze opnieuw is geobfusceerd vanuit de broncode, wat impliceert dat de daders toegang hebben tot de originele broncode van de worm en niet slechts kopieerders zijn.

De Shai-Hulud aanval werd voor het eerst waargenomen in september 2025. Hierbij stalen getrojaniseerde npm-pakketten gevoelige data zoals API-sleutels en inloggegevens, die vervolgens naar GitHub-repositories werden gestuurd. Een tweede golf volgde in november 2025. Een cruciaal kenmerk van deze campagne is het vermogen om gestolen npm-tokens te gebruiken om andere pakketten van de ontwikkelaar op te halen, deze te infecteren met dezelfde kwaadaardige code en opnieuw te publiceren. Dit mechanisme zorgt voor een worm-achtige verspreiding binnen de toeleveringsketen.

De recent ontdekte variant vertoont diverse wijzigingen ten opzichte van eerdere versies. Het initiële bestand heet nu bun_installer.js en de hoofdlading wordt aangeduid als environment_source.js. De GitHub-repositories waarnaar de geheimen worden gelekt, dragen de beschrijving "Goldox-T3chs: Only Happy Girl". De bestandsnamen waarin de gestolen geheimen worden opgeslagen zijn gewijzigd naar onder meer 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json en actionsSecrets.json. Een opvallende verandering is de verwijdering van de zogenaamde dead man switch, die in eerdere versies zorgde voor het wissen van data als er geen tokens werden gevonden. Daarnaast zijn er verbeteringen doorgevoerd in de foutafhandeling en de manier waarop pakketten worden gepubliceerd op basis van het besturingssysteem.

Naast de npm-malware is er ook een kwaadaardig pakket op Maven Central aangetroffen. Het pakket org.fasterxml.jackson.core/jackson-databind deed zich voor als de legitieme Jackson JSON-bibliotheek com.fasterxml.jackson.core. Dit is een vorm van typosquatting waarbij misbruik wordt gemaakt van de visuele gelijkenis tussen org en com in de naamgeving. Het pakket is inmiddels offline gehaald. Binnen het Java Archive-bestand bevond zich zwaar geobfusceerde code die automatisch werd uitgevoerd zodra een ontwikkelaar de afhankelijkheid toevoegde aan een Spring Boot-applicatie. De malware controleerde op de aanwezigheid van een bestand genaamd .idea.pid om te bepalen of het op een ontwikkelaarsmachine draaide; als dit bestand werd gevonden, stopte de malware om detectie te voorkomen.

Vervolgens nam de malware contact op met een externe server op het domein m.fasterxml.org om een versleutelde payload op te halen. Deze payload betreft een Cobalt Strike beacon, een tool die doorgaans wordt gebruikt voor simulaties door beveiligingsteams maar hier wordt misbruikt voor post-exploitatie. Op Windows-systemen werd een bestand genaamd svchosts.exe gedownload, terwijl macOS-systemen een payload genaamd update ontvingen. Het gebruikte domein fasterxml.org werd geregistreerd op 17 december 2025, kort voor de detectie van het pakket. Het incident legt een zwakke plek bloot in de detectiemogelijkheden van Maven Central met betrekking tot pakketten die legitieme naamruimtes imiteren.

Bron 1, 2, 3, 4, 5

Large Language Models hebben de softwareontwikkeling ingrijpend veranderd door programmeermogelijkheden toegankelijk te maken voor een breed publiek. Deze toegenomen toegankelijkheid heeft echter geleid tot een nieuwe beveiligingscrisis, waarbij geavanceerde AI-tools nu als wapen worden ingezet voor het automatiseren van complexe exploits tegen bedrijfssoftware. Deze ontwikkeling vormt een fundamentele uitdaging voor de huidige beveiligingsprincipes, waarbij de technische complexiteit van het uitbuiten van kwetsbaarheden voorheen fungeerde als een natuurlijke barrière tegen minder ervaren aanvallers.

Het dreigingslandschap ondergaat een snelle evolutie nu kwaadwillenden deze modellen gebruiken om theoretische beschrijvingen van kwetsbaarheden om te zetten in werkende aanvalsscripts. Door LLM's te manipuleren, kunnen aanvallers veiligheidsmechanismen omzeilen en functionele exploits genereren voor kritieke systemen, zonder dat zij diepgaande kennis nodig hebben van interne systeemprocessen of geheugenbeheer. Deze capaciteit stelt personen met beperkte programmeerkennis in staat om effectieve cyberaanvallen uit te voeren op productieomgevingen, waardoor de drempel voor succesvolle aanvallen aanzienlijk wordt verlaagd.

Onderzoekers van de Universiteit van Luxemburg en de Universiteit Cheikh Anta Diop hebben deze specifieke dreiging in kaart gebracht en gedemonstreerd. In hun studie toonden zij aan dat veelgebruikte modellen zoals GPT-4o en Claude via social engineering gemanipuleerd kunnen worden om beveiligingslekken te misbruiken. De onderzoekers demonstreerden dat deze AI-modellen in staat waren om Odoo ERP-systemen te compromitteren met een succespercentage van 100 procent. De studie benadrukt dat het onderscheid tussen technische en niet-technische aanvallers hierdoor vervaagt, aangezien aanvallers systematisch kwetsbare softwareversies kunnen identificeren en deze kunnen inzetten voor geautomatiseerde tests om aanvallen snel te verfijnen.

De kern van deze dreiging ligt in de RSA-strategie, wat staat voor Role-play, Scenario en Action. Deze geavanceerde pretexting-techniek wordt gebruikt om de veiligheidsfilters van LLM's systematisch te omzeilen door de context waarin een vraag wordt gesteld te manipuleren. In plaats van direct om een schadelijke exploit te vragen, hanteert de aanvaller een gelaagde aanpak om het model te misleiden. Eerst krijgt het model een onschuldige rol toegewezen, zoals die van een onderzoeker of educatieve assistent. Vervolgens wordt een scenario geschetst waarin de vraag binnen een veilige omgeving wordt geplaatst, zoals een laboratoriumtest of een bug bounty-programma. Tot slot wordt de AI gevraagd om specifieke acties uit te voeren die de benodigde code genereren.

Deze vorm van gestructureerde manipulatie omzeilt de ingebouwde veiligheidstraining van de modellen effectief. Het model raakt ervan overtuigd dat het genereren van de code een legitieme en behulpzame handeling is. De output resulteert vaak in volledig functionele scripts in talen zoals Python of Bash, waarmee acties zoals SQL-injecties of het omzeilen van authenticatie kunnen worden uitgevoerd. De bevindingen tonen aan dat de huidige veiligheidsmaatregelen ontoereikend zijn tegen deze vorm van contextbewuste social engineering en dat traditionele aannames over de technische drempels voor cyberaanvallen herzien moeten worden.

Bron 1

Een nieuwe variant van de GlassWorm-malware richt zich specifiek op macOS-systemen door gebruik te maken van kwaadaardige extensies voor Visual Studio Code. Deze zelfverspreidende worm wordt gedistribueerd via de Open VSX-marktplaats en heeft in korte tijd meer dan 50.000 downloads verzameld. De huidige aanvalscampagne markeert een belangrijke verschuiving in de strategie van de dreigingsactor, die voorheen voornamelijk Windows-gebruikers als doelwit had. De vierde golf van deze malware introduceert geavanceerde ontwijkingstechnieken en versleutelde payloads om detectie door beveiligingssoftware te voorkomen.

De verspreiding vindt plaats via drie specifieke extensies genaamd pro-svelte-extension, vsce-prettier-pro en full-access-catppuccin-pro-extension. Onderzoek heeft uitgewezen dat deze extensies verbonden zijn via een gedeelde infrastructuur en identieke encryptiesleutels. In tegenstelling tot eerdere versies die gebruikmaakten van onzichtbare Unicode-tekens of Rust-binaries, vertrouwt de nieuwste iteratie op JavaScript-payloads die met AES-256-CBC zijn versleuteld. Deze payloads zijn specifiek ontworpen voor de macOS-architectuur en maken gebruik van AppleScript voor uitvoering en LaunchAgents voor persistentie op het systeem.

Een opvallend kenmerk van deze malware is het mechanisme om zandbakomgevingen te misleiden. Na installatie wacht de extensie exact vijftien minuten voordat de kwaadaardige code wordt geactiveerd. Omdat de meeste geautomatiseerde beveiligingsscanners een time-out hebben van vijf minuten, wordt de extensie tijdens de eerste analyse als legitiem geclassificeerd. Zodra de vertragingstijd is verstreken, wordt de versleutelde payload gedecodeerd en uitgevoerd met behulp van de ingebouwde cryptografische functies van de extensie.

De aansturing van de malware verloopt via de Solana-blockchain, wat het voor autoriteiten uiterst moeilijk maakt om de infrastructuur offline te halen. De aanvaller publiceert base64-gecodeerde URL's in transactiememo's op de blockchain, waardoor de geïnfecteerde systemen gedecentraliseerde instructies kunnen ontvangen zonder afhankelijk te zijn van traditionele domeinnamen die geblokkeerd kunnen worden. Onderzoekers hebben de infrastructuur herleid naar het IP-adres 45.32.151.157, dat consistent is met eerdere golven van GlassWorm-activiteit.

De functionaliteit van de malware omvat het stelen van gevoelige informatie en het compromitteren van hardware-wallets. De code is in staat om directe toegang te verkrijgen tot de macOS Keychain-database om opgeslagen wachtwoorden en inloggegevens te ontvreemden. Daarnaast bevat de infrastructuur voorbereidingen om applicaties zoals Ledger Live en Trezor Suite te vervangen door getrojaniseerde versies. Gestolen gegevens worden tijdelijk opgeslagen in de directory /tmp/ijewf/, gecomprimeerd en vervolgens geëxfiltreerd naar een externe server op het adres 45.32.150.251/p2p.

Bron 1

Het gedecentraliseerde platform voor intellectueel eigendom Unleash Protocol is getroffen door een omvangrijke digitale diefstal waarbij ongeveer 3,9 miljoen dollar aan cryptovaluta is ontvreemd. Het incident vond plaats nadat een ongeautoriseerde partij erin slaagde de controle te verkrijgen over het administratieve governance-systeem van het platform. Door deze overname van de zogenaamde multisig-bevoegdheden kon de aanvaller een niet-geautoriseerde upgrade van de smart contracts uitvoeren, wat de weg vrijmaakte voor het opnemen van activa zonder toestemming van het officiële team.

Unleash Protocol functioneert als een besturingssysteem voor het beheer van intellectueel eigendom door dit om te zetten in tokens op de blockchain. Deze tokens kunnen vervolgens binnen het ecosysteem van gedecentraliseerde financiën (DeFi) als onderpand worden gebruikt. Het platform faciliteert tevens de automatische distributie van royalty's en licentie-inkomsten via geprogrammeerde regels in smart contracts. De aanvaller maakte gebruik van de verkregen administratieve rechten om deze regels aan te passen, waardoor verschillende soorten activa konden worden weorgesluisd, waaronder wrapped IP (WIP), USDC, wrapped Ether (WETH), gestaked IP (stIP) en voting-escrowed IP (vIP).

Analyses van beveiligingsexperts van PeckShieldAlert wijzen uit dat de gestolen fondsen via externe infrastructuur zijn overgebracht naar andere adressen om de traceerbaarheid te bemoeilijken. De buitgemaakte cryptovaluta zijn uiteindelijk omgezet in 1.337 ETH en gestort in de cryptomixer Tornado Cash. Deze dienst wordt gebruikt om de herkomst van gelden te verhullen door transacties te anonimiseren via complexe versluieringsmechanismen. Hoewel Tornado Cash in het verleden te maken heeft gehad met internationale sancties, blijft de infrastructuur een instrument voor het verplaatsen van digitale activa buiten het zicht van toezichthouders.

De leiding van Unleash Protocol heeft naar aanleiding van de hack alle operaties op het platform onmiddellijk gepauzeerd. Er is een onderzoek gestart in samenwerking met externe beveiligingsspecialisten om de exacte oorzaak van de inbreuk vast te stellen en mogelijke herstelmaatregelen te verkennen. Gebruikers hebben het advies gekregen om geen interactie aan te gaan met de contracten van het protocol totdat er via de officiële kanalen een bevestiging van veiligheid is gegeven. De focus van het onderzoek ligt op de wijze waarop een extern beheerd adres de administratieve controle over de multisig-governance heeft kunnen bemachtigen.

Bron 1

De illegale handel in hoogwaardige technologie is een groeiend probleem binnen het geopolitieke speelveld tussen de Verenigde Staten en China. In de Amerikaanse staat Texas is een crimineel samenwerkingsverband ontmanteld dat zich schuldig maakte aan het smokkelen van geavanceerde Nvidia-processoren. Volgens de federale aanklagers wisten de betrokkenen tussen oktober 2024 en mei 2025 voor minstens 160 miljoen dollar aan hardware, specifiek de H100- en H200-chips, naar China te exporteren.

De werkwijze van het netwerk kenmerkte zich door fraude en misleiding. Er werd gebruikgemaakt van dekmantelbedrijven en een geheime opslaglocatie in New Jersey om de logistieke keten te verhullen. Om de strenge Amerikaanse exportcontroles te omzeilen, werden de grafische processoren voorzien van valse etiketten met de gefingeerde merknaam Sandkayan. Op de vrachtdocumenten stonden de goederen vervolgens geregistreerd als eenvoudige adapters en controllers, waarna ze via tussenstations naar Hongkong en China werden verscheept. De Amerikaanse justitie benadrukt dat deze chips cruciaal zijn voor de ontwikkeling van militaire AI-toepassingen en daarmee een direct risico vormen voor de nationale veiligheid.

Schattingen van experts wijzen erop dat de omvang van deze illegale stroom aanzienlijk is, waarbij in 2024 mogelijk tienduizenden tot honderdduizenden chips ongezien de grens overgingen. Opmerkelijk genoeg vond de ontmanteling van dit specifieke netwerk plaats op dezelfde dag dat het Amerikaanse beleid een koerswijziging onderging. De president kondigde aan dat de exportbeperkingen voor de krachtige Nvidia H200-chips worden opgeheven, mits een kwart van de omzet in China wordt afgedragen aan de Amerikaanse overheid. Deze beleidswijziging wordt door de verdediging in de strafzaak direct aangegrepen om het argument dat de chips een gevaar voor de staatsveiligheid vormen, in twijfel te trekken. Desondanks blijft de vraag naar deze rekenkracht vanuit China ook in 2026 onverminderd groot.

Bron 1

De organisatie verantwoordelijk voor de inauguratie van Zohran Mamdani, de nieuwe burgemeester van New York, heeft een officiële lijst gepubliceerd met voorwerpen die verboden zijn tijdens de ceremonie op 1 januari 2026. Opvallend in de veiligheidsvoorschriften is het specifieke verbod op twee technische apparaten: de Flipper Zero en de Raspberry Pi. Deze hardware wordt in de officiële FAQ van het evenement expliciet genoemd naast conventionele risico's zoals vuurwapens, explosieven, drones en laserpennen.

De Flipper Zero is een compact instrument dat door beveiligingsonderzoekers wordt gebruikt voor het analyseren van draadloze protocollen zoals RFID, NFC en Bluetooth. De Raspberry Pi is een veelzijdige computer op een enkele printplaat die volledige besturingssystemen kan draaien. Beide apparaten zijn populair in de cybersecurity-gemeenschap voor het uitvoeren van penetratietesten en netwerkanalyse.

Het verbod zorgt voor discussie over de effectiviteit van de maatregel. Terwijl deze twee specifieke apparaten bij naam worden geweerd, zijn laptops en smartphones niet opgenomen in de lijst van verboden voorwerpen. Deskundigen wijzen erop dat moderne smartphones en laptops, uitgerust met software zoals Kali Linux, vaak over grotere technische mogelijkheden beschikken voor digitale interventies dan de verboden hardware.

De beperkingen voor dergelijke apparaten passen in een bredere trend waarbij overheden en commerciële platforms proberen de verspreiding van "dual-use" hardware te controleren. In het verleden leidde de angst voor misbruik, zoals het kopiëren van digitale sleutels of betaalkaarten, al tot verkoopverboden op platforms zoals Amazon. De organisatie van de inauguratie heeft geen officiële verklaring gegeven voor het specifiek selecteren van deze twee apparaten uit het brede aanbod van beschikbare consumentenelektronica.

Bron 1, 2

Trust Wallet heeft bevestigd dat een supply chain aanval, toegeschreven aan de tweede iteratie van de Shai-Hulud campagne, heeft geleid tot de diefstal van ongeveer 8,5 miljoen dollar aan cryptovaluta. Bij het incident werden 2.520 wallets geleegd nadat aanvallers een kwaadaardige update van de Google Chrome-extensie hadden gepubliceerd. Uit onderzoek blijkt dat geheime inloggegevens van ontwikkelaars op GitHub waren blootgesteld, waardoor de daders toegang kregen tot de broncode en de API-sleutel van de Chrome Web Store.

Door het gebruik van deze API-sleutel konden de aanvallers het reguliere releaseproces van Trust Wallet omzeilen. Hierdoor was er geen interne goedkeuring of handmatige review nodig om een nieuwe softwareversie te uploaden. Op 24 december 2025 werd versie 2.68 van de extensie verspreid, die was voorzien van een backdoor. Deze kwaadaardige code was ontworpen om de mnemonic phrases van gebruikers te oogsten en door te sturen naar een door de aanvallers beheerd subdomein van metrics-trustwallet.

Analyses tonen aan dat de kwaadaardige code werd geactiveerd op elk moment dat een gebruiker de wallet ontgrendelde. Dit gebeurde ongeacht of de gebruiker wachtwoorden of biometrische gegevens gebruikte, en of de wallet al langere tijd in gebruik was of pas net was geopend na de update naar versie 2.68. De code was in staat om alle wallets binnen een account te scannen, waardoor gebruikers met meerdere geconfigureerde portefeuilles volledig werden gecompromitteerd. De gestolen seed phrases werden verborgen in een veld voor foutmeldingen binnen de telemetrie-data, waardoor de data-exfiltratie voor een oppervlakkige waarnemer leek op een standaard analytische gebeurtenis gericht op gebruikersstatistieken.

De infrastructuur achter de aanval werd gehost bij Stark Industries Solutions op IP-adres 138.124.70.40. Onderzoek wijst uit dat de voorbereidingen niet opportunistisch waren; de benodigde servers waren al op 8 december 2025 ingericht, ruim twee weken voordat de schadelijke update werd gepusht. Op de server werd de respons "He who controls the spice controls the universe" gevonden, een verwijzing naar de roman Dune die eerder werd waargenomen bij Shai-Hulud aanvallen binnen het npm-ecosysteem.

Na de ontdekking van de inbreuk heeft Trust Wallet gebruikers opgeroepen om direct te updaten naar versie 2.69. De gestolen activa werden verdeeld over ten minste 17 verschillende adressen die door de aanvallers worden beheerd. Het bedrijf is een proces gestart voor het indienen van vergoedingen voor gedupeerde slachtoffers, waarbij claims per geval worden beoordeeld om fraude te voorkomen. Om herhaling te voorkomen, zijn de monitoring en controles op het releaseproces aangescherpt. Volgens de officiële verklaring betrof dit een breder probleem in de toeleveringsketen waarbij kwaadaardige code via vertrouwde ontwikkelaarstools werd gedistribueerd naar verschillende sectoren.

Bron 1