← Terug naar blog
Security Briefing4 min read2026-04-23

Security briefing, 23 april 2026: Apple-notificatiebug, npm-worm en GoGra Graph API-backdoor

Het dreigingsbeeld van vanmorgen draait niet om één enorme zero-day. Het draait om vertrouwensgrenzen die falen op bekende plekken: telefoons, ontwikkelpijplijnen en enterprise cloud identity.


Top line: Drie signalen tellen vandaag: Apple bracht een out-of-band fix uit voor bewaarde notificatiedata, npm-verdedigers hebben te maken met een wormachtige supply-chain-aanval en een Linux-backdoor misbruikt Microsoft Graph en Outlook om op te gaan in normaal verkeer.


1. Apple brengt een noodfix uit voor verwijderde notificatiedata die niet echt weg waren

Apple bracht out-of-band updates uit voor iPhone en iPad om CVE-2026-28950 te verhelpen, een fout waarbij notificaties die voor verwijdering waren gemarkeerd toch op het apparaat konden blijven staan. Dat is belangrijk omdat notificatievoorbeelden berichtinhoud kunnen bevatten, zelfs wanneer gebruikers denken dat de onderliggende app-data al weg zijn.


2. De nieuwe npm-aanval steelt niet alleen secrets, maar probeert zich ook als een worm te verspreiden

Onderzoekers van Socket en StepSecurity zeggen dat gecompromitteerde npm-pakketten van Namastex Labs publish-tokens, API-sleutels, SSH-sleutels, cloud-credentials en browserwallet-data stalen en daarna probeerden besmette pakketten opnieuw te publiceren vanaf elk account dat ze konden bereiken. Dat is een vervelende escalatie ten opzichte van een gewone package-compromise, omdat elke blootgestelde maintainer-token een nieuw lanceerpunt wordt.


3. GoGra laat zien hoe Linux-malware commandotraffic in gewoon verkeer kan verstoppen

Volgens Symantec gebruikt de Linux-variant van de GoGra-backdoor hardcoded Azure AD-credentials, Microsoft Graph API en een Outlook-map om versleutelde opdrachten op te halen en versleutelde resultaten terug te sturen. De malware belt dus niet naar een overduidelijk dubieus domein, maar verstopt command-and-control in een cloudservice die verdedigers vaak standaard vertrouwen.


Wat securityteams vandaag moeten doen

  1. Apple-apparaten snel patchen en notificatievoorbeelden op risicovollere iPhones en iPads aanscherpen.
  2. Zoek naar de genoemde kwaadaardige npm-versies, verwijder ze en roteer alle mogelijk blootgestelde secrets in CI, cloud, registries en developer-laptops.
  3. Controleer Microsoft Graph-, OAuth- en mailbox-telemetrie op gedrag dat operationeel vreemd aanvoelt, niet alleen op duidelijk kwaadaardige signalen.
  4. Zie alle drie de verhalen als één les: vertrouwen stapelt zich op in achtergrondsystemen en aanvallers verdienen eraan wanneer verdedigers dat vergeten.

Bronnen


Bottom line: Kort gezegd: de rode draad vandaag is verborgen retentie en verborgen vertrouwen. Data die verwijderd leken, kunnen nog aanwezig zijn, pakketten die routine leken kunnen compromittering verspreiden en cloudverkeer dat normaal leek kan aanvallerscommando’s dragen.

Vind de stille vertrouwensbreuken voordat aanvallers dat doen

KENSAI helpt teams blootgestelde aanvalspaden in identiteit, cloud, ontwikkeltooling en internetgerichte systemen zichtbaar te maken voordat kleine vertrouwensbreuken echte incidenten worden.

Gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team