← Terug naar blog
Security briefing4 min read2026-04-28

Security briefing, 28 april 2026: Robinhood-phishing, PyPI-infostealer en GlassWorm-sleeper-extensions

De les van vanochtend is lelijk en simpel: vertrouwd onboardingverkeer, vertrouwde pakketmanagers en vertrouwde extension-marktplaatsen zijn zelf afleverkanalen geworden.


Kort: Drie verhalen tellen nu: aanvaller-gestuurde inhoud in echte Robinhood-mail, een vervalste open-source-release die secrets steelt en VS Code-extensions die later wakker moeten worden.


1. De onboardingflow van Robinhood werd een phishingkanaal

Aanvallers misbruikten het accountaanmaakproces van Robinhood om HTML in legitieme loginmails van noreply@robinhood.com te injecteren. De berichten passeerden SPF en DKIM, zagen er echt uit en stuurden slachtoffers naar een phishingsite. De conclusie is hard: afzendervertrouwen alleen is dood als inhoud niet wordt gesaneerd.


2. elementary-data op PyPI veranderde een normale releaseflow in credential theft

Het populaire pakket elementary-data werd gecompromitteerd via GitHub Actions script injection. Daardoor lekte een workflowtoken en kon de aanvaller een ondertekende release vervalsen. Versie 0.23.3 verspreidde een infostealer voor SSH-sleutels, cloud-credentials, CI-secrets, walletbestanden en ontwikkelomgevingsdata, met hetzelfde effect op container-images.


3. GlassWorms 73 OpenVSX-sleeper-extensions laten stillere supply-chain-aanvallen zien

Socket vond 73 OpenVSX-extensions die aan GlassWorm zijn gekoppeld, waarvan er al zes actief waren. De nieuwe truc is geduld: eerst iets onschuldig publiceren, vertrouwen laten groeien en de payload pas in een latere update afleveren. Dat is dezelfde ecosysteemmisbruik, alleen stiller en gemener.


Wat securityteams vandaag moeten doen

  1. Hercontroleer elke e-mailsjabloon die klant- of apparaatgegevens terugspiegelt.
  2. Zoek het gecompromitteerde PyPI-pakket en forceer secretrotatie waar het draaide.
  3. Inventariseer VS Code- en OpenVSX-extensions over de developer-fleet voordat de volgende updategolf komt.
  4. Behandel trust surfaces niet langer als UX-detail. Ze zijn nu aanvalsvlak.

Bronnen


Kortom: Het patroon van vandaag is geen exotische malware. Het is gewone trust die in transport wordt omgezet. Als een workflow, template of marktplaats routine voelt, hebben aanvallers hem al opgemerkt.

Vind de trustpaden die aanvallers al testen

KENSAI helpt teams blootgestelde workflows, riskante dependencies en blinde vlekken op developer-oppervlakken in kaart te brengen voordat ze echte incidenten worden.

Start gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team