← Terug naar blog
Security briefing4 min read2026-04-30

Security briefing, 30 april 2026: SAP npm-supply-chain-backdoor, cPanel-auth-bypass en Linux-rootbug Copy Fail

Het thema van vanochtend is simpel: als vertrouwde infrastructuur wordt vergiftigd, hebben aanvallers geen exotische trucs nodig.


Kort gezegd: Drie verhalen verdienen vanochtend directe aandacht: officiële SAP npm-pakketten zijn aangepast om developer- en CI-secrets te stelen, cPanel en WHM hebben een noodpatch uitgebracht voor een kritieke authenticatiebypass, en Linux-maintainers patchen haastig de nieuwe privilege-escalatiefout Copy Fail.


1. De SAP npm-compromis is een directe aanval op developer- en CI-secrets

Vier officiële SAP npm-pakketten rond het Cloud Application Programming Model en Cloud MTA zijn aangepast met een kwaadaardige preinstall-keten. Volgens BleepingComputer, Aikido en Socket haalt de payload Bun binnen, draait een versluierde stealer en zoekt naar GitHub-tokens, npm-tokens, SSH-sleutels, cloud-credentials, Kubernetes-secrets en CI/CD-omgevingsvariabelen. Nog erger: de malware zou ook rechtstreeks runner-geheugen uitlezen en zichzelf proberen te verspreiden met gestolen tokens.


2. De cPanel-noodpatch voor de auth-bypass is geen optioneel onderhoud

cPanel en WHM hebben een noodupdate uitgebracht voor CVE-2026-41940, een authenticatiebypass met severity 9.8 die vrijwel alle ondersteunde builds raakt behalve de nieuwste. Namecheap blokkeerde tijdelijk de blootgestelde beheerpoorten nog voordat patches beschikbaar waren, en dat zegt genoeg. Wie cPanel overneemt krijgt websites, mail, databases en configbestanden; wie WHM overneemt kan de hele hostingserver en alle tenants daarachter bezitten.


3. Copy Fail geeft Linux-aanvallers een absurd eenvoudig post-compromise-pad naar root

The Register meldt dat de nieuwe Copy Fail-kwetsbaarheid, CVE-2026-31431, een ongeprivilegieerde lokale gebruiker vier gecontroleerde bytes laat schrijven in de page cache van elk leesbaar bestand en dat omzet in root. De PoC is piepklein, ontwijkt klassieke bestandsevenement-detectie en de impact gaat veel verder dan laptops: shared-kernel-containers, CI-runners en multi-tenant-Linux-systemen zijn precies de plekken waar een lokale privilege-escalatie een echt extern risico wordt na een eerste foothold.

Wat je vandaag moet doen

Begin bij de software supply chain, sluit daarna blootgestelde hosting-control-planes en patch vervolgens Linux-privilegegrenzen waar aanvallers al code kunnen draaien. De gemeenschappelijke fout hier is blind vertrouwen in infrastructuur die iedereen al veilig waande.

Bronnen

  • BleepingComputer over gecompromitteerde officiële SAP npm-pakketten plus aanvullend onderzoek van Aikido en Socket.
  • BleepingComputer over cPanel/WHM CVE-2026-41940 en de noodupdate-instructies.
  • The Register over CVE-2026-31431 “Copy Fail”, met patchverwijzingen voor Debian, Ubuntu, SUSE en Red Hat.