Dagelijks dreigingsbriefing
GlassWorm-campagne treft meer dan 400 repositories op GitHub, npm, VSCode en OpenVSX
De GlassWorm supply chain-campagne keerde terug met een gecoördineerde aanval die malware injecteert in honderden Python-repositories, npm-pakketten en VSCode/OpenVSX-extensies. Aanvallers gebruikten gestolen GitHub-tokens om geobfusceerde code te force-pushen naar setup.py-, main.py- en app.py-bestanden van legitieme projecten — waaronder Django-apps, ML-onderzoekscode en PyPI-pakketten. Iedereen die pip install uitvoert vanuit een gecompromitteerde repository activeert de malware. De vroegste injecties zijn herleid tot 8 maart. De subcampagne is ForceMemo genoemd.
Font-renderingtruc verbergt kwaadaardige commando's voor AI-beveiligingstools
Een nieuwe aanvalstechniek zorgt ervoor dat AI-assistenten kwaadaardige commando's in webpagina's missen door verschillen in font-rendering te exploiteren. Kwaadaardige instructies worden verborgen in schijnbaar onschuldige HTML die anders wordt weergegeven voor mensen dan voor AI-parsers, wat een nieuwe klasse van prompt-injectie en ontwijkingsaanvallen tegen AI-aangedreven beveiligingstools creëert.
LeakNet-ransomware adopteert ClickFix + Deno-runtime voor heimelijke aanvallen
LeakNet-ransomware gebruikt nu de ClickFix social engineering-techniek voor initiële toegang, waarbij gebruikers worden misleid om kwaadaardige commando's uit te voeren via nep-foutmeldingen op gecompromitteerde websites. De groep zet een «Bring Your Own Runtime» (BYOR)-aanval in met de legitieme Deno JavaScript-runtime om payloads direct in het geheugen uit te voeren — EDR-blokkeerlijsten worden omzeild omdat Deno een ondertekend, vertrouwd binair bestand is. Post-exploitatie omvat DLL-sideloading via Java, laterale beweging via PsExec, credential-ontdekking via klist en data-exfiltratie via Amazon S3-buckets. Detectie-indicatoren: Deno draaiend buiten ontwikkelomgevingen, abnormaal PsExec-gebruik, onverwacht uitgaand S3-verkeer.
Apple patcht WebKit-kwetsbaarheid CVE-2026-20643 via eerste achtergrond-beveiligingsupdate
Apple heeft zijn allereerste «Background Security Improvements»-update uitgebracht — een nieuw mechanisme om kritieke fixes naar iPhones, iPads en Macs te pushen zonder een volledige OS-upgrade te vereisen. De patch verhelpt een WebKit-kwetsbaarheid (CVE-2026-20643). Dit vertegenwoordigt een significante verschuiving in Apple's patchstrategie, waardoor snellere respons op browser-engine-kwetsbaarheden mogelijk wordt.
CISA markeert Wing FTP-kwetsbaarheid CVE-2025-47813 als actief misbruikt
CISA heeft een kwetsbaarheid voor informatielekken in Wing FTP Server toegevoegd aan de catalogus Bekende Misbruikte Kwetsbaarheden (KEV). De kwetsbaarheid lekt het volledige lokale installatiepad van de applicatie. Hoewel beoordeeld als gemiddelde ernst (CVSS 4.3), maakt actieve misbruik in het wild patching urgent — padlekken kan worden gekoppeld aan andere kwetsbaarheden voor volledige compromittering.
AI-platformkwetsbaarheden: Amazon Bedrock, LangSmith, SGLang maken data-exfiltratie & RCE mogelijk
BeyondTrust onthulde dat de sandbox-modus van Amazon Bedrock AgentCore Code Interpreter uitgaande DNS-query's toestaat, waardoor aanvallers C2-kanalen kunnen opzetten, data kunnen exfiltreren en interactieve reverse shells kunnen verkrijgen — de verwachte netwerkisolatie wordt omzeild. De techniek gebruikt DNS A-records voor bidirectionele communicatie. Amazon classificeerde dit als «bedoelde functionaliteit» in plaats van een defect en adviseerde VPC-modus voor volledige isolatie. Organisaties die AI-code-interpreters draaien met overgeprivilegieerde IAM-rollen lopen het grootste risico.
RondoDox-botnet misbruikt 174 kwetsbaarheden op grote schaal
Het RondoDox-botnet heeft zijn activiteit opgevoerd met pieken van 15.000 misbruikpogingen per dag over 174 bekende kwetsbaarheden. Het botnet hanteert een meer gerichte aanpak en richt zich op ongepatchte infrastructuur. Organisaties moeten de patchstatus valideren voor alle CVE's die door deze campagne worden getarget.
EU sanctioneert Chinese en Iraanse entiteiten voor cyberaanvallen op kritieke infrastructuur
De Raad van de Europese Unie heeft sancties aangekondigd tegen drie entiteiten en twee individuen wegens betrokkenheid bij cyberaanvallen gericht op kritieke infrastructuur in Europa. De gesanctioneerde partijen zijn gelinkt aan door de Chinese en Iraanse staten gesponsorde operaties. Dit markeert een voortdurende escalatie in de bereidheid van de EU om cybersancties als afschrikmiddel in te zetten — direct relevant voor NIS2-dreigingslandschapbeoordelingen.
DRILLAPP-backdoor richt zich op Oekraïne via Microsoft Edge-debugging
Aan Rusland gelinkte dreigingsactoren richten zich op Oekraïense entiteiten met DRILLAPP, een op JavaScript gebaseerde backdoor die draait via de debugfuncties van Microsoft Edge. De malware kan bestanden uploaden/downloaden, microfoons benaderen en webcambeelden vastleggen door browsermogelijkheden te misbruiken. De campagne gebruikt gerechtelijke en liefdadigheidsthema's als lokmiddelen voor initiële toegang via LNK-bestanden. Toeschrijving: Laundry Bear (Void Blizzard).
Noord-Koreaanse Konni-groep verspreidt EndRAT via KakaoTalk-propagatie
Noord-Koreaanse dreigingsactoren (Konni-groep) compromitteren doelwitten via spear-phishing en kapen vervolgens de KakaoTalk-desktopapplicatie van het slachtoffer om kwaadaardige payloads naar hun contacten te verspreiden — vertrouwde communicatiekanalen worden als wapen ingezet voor malwareverspreiding. De EndRAT-malware biedt volledige afstandstoegang.
Aan China gelinkte hackers richten zich op Aziatische legers in geduldige spionageoperatie
Door de staat gesponsorde Chinese hackers zetten op maat gemaakte tools in tegen Aziatische militaire doelwitten en bleven maandenlang slapend in gecompromitteerde omgevingen voordat ze actief werden — een demonstratie van geavanceerde persistentie en geduld bij spionageoperaties.
Robotchirurgiegigant Intuitive onthult cyberaanval
Intuitive, de maker van het da Vinci robotchirurgiesysteem, heeft onthuld dat interne bedrijfsapplicaties zijn benaderd nadat een medewerker slachtoffer werd van een phishingaanval. Het medische technologiebedrijf onderzoekt de omvang van het lek. Gezien de gevoeligheid van chirurgische en patiëntgegevens heeft dit incident significante regelgevende en patiëntveiligheidsimplicaties.
Brits Companies House stelde gegevens van miljoenen bedrijven bloot
Een kwetsbaarheid bij het Britse Companies House had kunnen worden misbruikt om bedrijfsgegevens te verkrijgen en dossiers van miljoenen in het VK geregistreerde bedrijven te wijzigen. De overheidsinstantie bevestigde de kwetsbaarheid. Het potentieel voor dossierwijziging wekt ernstige zorgen over bedrijfsidentiteitsfraude en vertrouwen in de supply chain.
Oracle EBS-hack: 4 grote bedrijven nog steeds stil over impact
Na een inbreuk op Oracle E-Business Suite blijven Broadcom, Bechtel, Estée Lauder en Abbott Technologies de enige grote bedrijven die geen publieke verklaringen hebben afgelegd over de mogelijke impact. De druk om openheid te geven neemt toe nu andere getroffen organisaties al met belanghebbenden hebben gecommuniceerd.
$12,5 miljoen geïnvesteerd in open source-beveiliging door techgiganten
Anthropic, AWS, Google, Microsoft en OpenAI financierden gezamenlijk de langetermijnbeveiligingsinitiatieven van de Linux Foundation voor open source-software met een investering van $12,5 miljoen — een signaal dat de industrie supply chain-beveiliging serieus neemt in het post-Log4j-tijdperk.
Surf AI haalt $57 miljoen op voor agentische beveiligingsoperaties
Surf AI lanceerde met $57 miljoen aan financiering van Accel, Cyberstarts en Boldstart Ventures voor een platform voor agentische beveiligingsoperaties. De opkomende categorie «Agentic SecOps» blijft significant durfkapitaal aantrekken.
Tracebit haalt $20 miljoen op voor cloud-native misleidingstechnologie
Tracebit heeft $20 miljoen opgehaald om zijn cloud-native misleidingsproducten op te schalen, naar nieuwe markten uit te breiden en engineering- en marketingteams te laten groeien. Misleidingstechnologie wint steeds meer terrein als aanvulling op traditionele detectiebenaderingen.
Belangrijkste patronen deze week
1. «Bring Your Own Runtime»-aanvallen — LeakNets gebruik van Deno om payloads in het geheugen uit te voeren vertegenwoordigt een groeiende trend: het misbruiken van legitieme, ondertekende ontwikkelaarstools als malware-runtimes. Dit patroon zal zich naar verwachting uitbreiden naar Bun, Node.js en andere runtimes.
2. AI-infrastructuur als aanvalsoppervlak — De Amazon Bedrock DNS-exfiltratie en het CISO-onderzoek dat toont dat 67% geen zicht heeft op AI-implementaties schetsen een duidelijk beeld: AI-infrastructuur loopt vooruit op beveiligingsdekking. AI-sandboxen zijn niet zo geïsoleerd als aangenomen.
3. Verzadigingsaanvallen op de supply chain — GlassWorms gelijktijdige targeting van meer dan 400 repositories op GitHub, npm, VSCode en OpenVSX toont dat aanvallers opschalen om meerdere ecosystemen tegelijk te raken, waardoor detectie en respons exponentieel moeilijker worden.
4. De browser als wapen — DRILLAPPs misbruik van Edge-debugging, de font-rendering AI-ontwijkingstruc en Storm-2561's nep-VPN-campagnes wijzen erop dat de browser in 2026 de primaire aanvalsvector wordt. Layer 7-aanvallen, API-misbruik en AI-aangedreven campagnes convergeren naar multi-vector operaties (volgens Akamai).
5. VPN-credentialdiefstal op grote schaal — Storm-2561 die nep-VPN-clients verspreidt via SEO-vergiftiging toont aanhoudende interesse in remote access-infrastructuur, waarbij trojans samen met credential-stealers worden ingezet.
🎯 KENSAI-relevantie
De intelligence van vandaag heeft direct impact op KENSAI's marktpositionering en productroadmap:
- EU-sancties tegen cyberactoren versterken de NIS2-urgentie — de EU benoemt en bestraft actief dreigingsactoren die kritieke infrastructuur aanvallen. KENSAI's compliance-hoek wordt bevestigd.
- AI-beveiligingskloof — 67% van de CISO's mist zicht op AI-implementaties. KENSAI kan AI-beveiligingsscanning positioneren als onderscheidende factor in de DACH-markt.
- Supply chain-aanvallen op deze schaal (GlassWorm treft meer dan 400 repo's) maken dependency-scanning en SBOM-generatie essentieel — functies die KENSAI moet benadrukken.
- $89,5 miljoen aan beveiligingsfinanciering vandaag (Surf AI + Tracebit + OSS-initiatief) — de markt is heet. De investeerdersbereidheid voor beveiligingstools blijft sterk richting Q2.
- Convergentie van browsergebaseerde aanvallen valideert DAST-scanningbenaderingen — externe web-app beveiligingstests zijn belangrijker dan ooit.
Bronnen: BleepingComputer, The Hacker News, SecurityWeek, ReliaQuest, BeyondTrust, S2 Grupo LAB52, Genians, StepSecurity, Akamai · Samengesteld door KENSAI Security Intelligence · kensai.app