De les van vanochtend is lelijk en simpel: vertrouwd onboardingverkeer, vertrouwde pakketmanagers en vertrouwde extension-marktplaatsen zijn zelf afleverkanalen geworden.
Kort: Drie verhalen tellen nu: aanvaller-gestuurde inhoud in echte Robinhood-mail, een vervalste open-source-release die secrets steelt en VS Code-extensions die later wakker moeten worden.
Aanvallers misbruikten het accountaanmaakproces van Robinhood om HTML in legitieme loginmails van noreply@robinhood.com te injecteren. De berichten passeerden SPF en DKIM, zagen er echt uit en stuurden slachtoffers naar een phishingsite. De conclusie is hard: afzendervertrouwen alleen is dood als inhoud niet wordt gesaneerd.
Het populaire pakket elementary-data werd gecompromitteerd via GitHub Actions script injection. Daardoor lekte een workflowtoken en kon de aanvaller een ondertekende release vervalsen. Versie 0.23.3 verspreidde een infostealer voor SSH-sleutels, cloud-credentials, CI-secrets, walletbestanden en ontwikkelomgevingsdata, met hetzelfde effect op container-images.
Socket vond 73 OpenVSX-extensions die aan GlassWorm zijn gekoppeld, waarvan er al zes actief waren. De nieuwe truc is geduld: eerst iets onschuldig publiceren, vertrouwen laten groeien en de payload pas in een latere update afleveren. Dat is dezelfde ecosysteemmisbruik, alleen stiller en gemener.
Kortom: Het patroon van vandaag is geen exotische malware. Het is gewone trust die in transport wordt omgezet. Als een workflow, template of marktplaats routine voelt, hebben aanvallers hem al opgemerkt.
KENSAI helpt teams blootgestelde workflows, riskante dependencies en blinde vlekken op developer-oppervlakken in kaart te brengen voordat ze echte incidenten worden.
Start gratis scan →Blijf scherp.
🗡️ KENSAI Security Team