剣 KENSAI
← Back to archive

🛡️ Dagelijkse Beveiligingsonderzoek Briefing

Woensdag 1 april 2026 — 04:00 CEST
⚡ Samenvatting: Axios npm supply-chain-aanval levert cross-platform RATs (100M+ wekelijkse downloads getroffen). Cisco gehackt via Trivy supply-chain-compromittering — broncode voor AI-producten en klantrepositories gestolen. TrueConf zero-day (CVE-2026-3502) misbruikt door aan China gelieerde actor tegen Zuidoost-Aziatische overheden. Claude AI ontdekt RCE-kwetsbaarheden in Vim en Emacs. Citrix NetScaler kritieke kwetsbaarheid actief misbruikt. Google toont aan dat kwantum-cryptokraken 20× minder qubits vereist.

🔴 Supply-chain-aanvallen

Axios npm-pakket gecompromitteerd — Cross-platform RAT uitgerold

Kritiek supply-chain npm rat

De Axios HTTP-client (100M+ wekelijkse downloads) is getroffen door een gerichte supply-chain-aanval. De aanvaller compromitteerde het npm-account van beheerder Jason Saayman en publiceerde kwaadaardige versies 1.14.1 en 0.30.4 met een valse afhankelijkheid plain-crypto-js die platformspecifieke RATs aflevert op Windows, macOS en Linux.

  • Kwaadaardige afhankelijkheid werd 18 uur van tevoren klaargezet — dit was voorbedacht
  • RAT ondersteunt shell-opdrachten, directory-enumeratie en base64-gecodeerde binaire payloads
  • Dropper vernietigt zichzelf en vervangt package.json met een schone kopie om forensisch onderzoek te bemoeilijken
  • Gepubliceerd zonder OIDC-pakketherkomst, geen bijbehorende GitHub-commit

Actie: Controleer lockfiles onmiddellijk op axios@1.14.1 of axios@0.30.4. Pin naar bekende veilige versies. Audit CI/CD op onverwachte afhankelijkheidswijzigingen.

The Hacker News · BleepingComputer

Cisco gehackt via Trivy supply-chain-aanval — Broncode gestolen

Kritiek supply-chain datalek TeamPCP

De interne ontwikkelomgeving van Cisco is gehackt met inloggegevens die zijn gestolen via de Trivy-kwetsbaarheidsscanner supply-chain-aanval. Dreigingsactoren kloonden 300+ GitHub-repositories waaronder broncode voor AI Assistants, AI Defense en nog niet uitgebrachte producten.

  • Meerdere AWS-sleutels gestolen en gebruikt voor ongeautoriseerde activiteiten in Cisco AWS-accounts
  • Gestolen repo's bevatten code van banken, BPO's en Amerikaanse overheidsinstanties
  • Meerdere dreigingsactoren betrokken met wisselende activiteitsniveaus
  • Aanval toegeschreven aan de TeamPCP-dreigingsgroep — dezelfde actoren achter Trivy-, LiteLLM- en Checkmarx-compromitteringen
  • Cisco heeft getroffen systemen geïsoleerd en is begonnen met het roteren van inloggegevens

BleepingComputer

🎯 Actieve exploitatie & Zero-days

TrueConf zero-day (CVE-2026-3502) misbruikt tegen Zuidoost-Aziatische overheden

Hoog — CVSS 7.8 zero-day apt china-nexus

Een zero-day in de TrueConf-videoconferentieclient werd actief misbruikt in een campagne genaamd TrueChaos, gericht op overheidsinstanties in Zuidoost-Azië. De kwetsbaarheid stelt aanvallers die controle hebben over een on-premises TrueConf-server in staat om gemanipuleerde updates te verspreiden naar alle verbonden endpoints.

  • Misbruikt om het Havoc C2-framework uit te rollen via DLL side-loading
  • Met gemiddeld vertrouwen toegeschreven aan een aan China gelieerde dreigingsactor
  • Gebruikt Alibaba Cloud- en Tencent-infrastructuur voor C2
  • Dezelfde slachtoffers werden in dezelfde periode aangevallen met ShadowPad
  • Gepatcht in TrueConf Windows-client versie 8.5.3

The Hacker News · Check Point Research

Citrix NetScaler kritieke kwetsbaarheid (CVE-2026-3055) actief misbruikt

Kritiek — CVSS 9.3 actieve-exploitatie citrix

Een kritieke kwetsbaarheid in Citrix NetScaler ADC en NetScaler Gateway wordt sinds 27 maart actief misbruikt. De kwetsbaarheid betreft onvoldoende invoervalidatie die leidt tot geheugenoverlezing, waardoor mogelijk gevoelige informatie uitlekt. Exploitatie vereist dat het apparaat geconfigureerd is als een SAML Identity Provider.

Actie: Patch onmiddellijk. Controleer SAML IDP-configuraties op indicatoren van compromittering.

The Hacker News Wekelijks Overzicht

Fortinet FortiClient EMS SQL-injectie — Exploitatie begonnen

Kritiek actieve-exploitatie fortinet

Een kritieke SQL-injectiekwetsbaarheid in Fortinet FortiClient EMS stelt niet-geauthenticeerde aanvallers in staat om willekeurige code op afstand uit te voeren via speciaal vervaardigde HTTP-verzoeken. Exploitatie is in het wild waargenomen.

SecurityWeek

🔬 Kwetsbaarheden & CVE's

Vim & Emacs RCE-kwetsbaarheden ontdekt door Claude AI

Hoog rce ai-ontdekt vim emacs

Onderzoeker Hung Nguyen gebruikte Claude om RCE-kwetsbaarheden te ontdekken in zowel Vim als GNU Emacs, die worden geactiveerd door simpelweg een bestand te openen.

  • Vim: Modeline-verwerkingsomzeiling maakt sandbox-ontsnapping en willekeurige opdrachtenuitvoering mogelijk. Treft alle versies ≤9.2.0271. Gepatcht in 9.2.0272.
  • Emacs: vc-git-integratie leest door aanvallers gecontroleerde .git/config en voert core.fsmonitor-programma's uit. Emacs-beheerders beschouwen dit als Git's verantwoordelijkheid — niet gepatcht.

BleepingComputer · Calif Blog

GIGABYTE Control Center — Willekeurige bestandsschrijfkwetsbaarheid

Hoog willekeurig-schrijven gigabyte

GIGABYTE Control Center is kwetsbaar voor een willekeurige bestandsschrijffout waarmee externe, niet-geauthenticeerde aanvallers toegang kunnen krijgen tot bestanden op kwetsbare hosts.

BleepingComputer

StrongSwan integer-underflow — VPN-crash (15 jaar aan releases)

Hoog vpn dos

Een op afstand exploiteerbare integer-underflow-kwetsbaarheid in StrongSwan stelt niet-geauthenticeerde aanvallers in staat om VPN-verbindingen te laten crashen. De kwetsbaarheid beslaat 15 jaar aan releases.

SecurityWeek

Vertex AI-machtigingsmodel misbruik — Google Cloud-gegevensblootstelling

Hoog cloud google ai

Palo Alto Unit 42 onthulde een beveiligingsblinde vlek in Google Cloud's Vertex AI-platform waarbij AI-agents kunnen worden ingezet om ongeautoriseerde toegang tot gevoelige gegevens te verkrijgen en cloudomgevingen te compromitteren door misbruik van het machtigingsmodel.

The Hacker News

CrewAI-kwetsbaarheden — Sandbox-ontsnapping via prompt-injectie

Hoog ai-agents sandbox-ontsnapping

Kwetsbaarheden in het CrewAI-framework stellen aanvallers in staat om prompt-injectie te misbruiken om kwetsbaarheden aan elkaar te koppelen, de sandbox te ontsnappen en willekeurige code uit te voeren op hostapparaten.

SecurityWeek

OpenAI Codex / ChatGPT-kwetsbaarheden gepatcht

Hoog openai data-exfiltratie

OpenAI heeft twee kwetsbaarheden gepatcht: een ChatGPT-data-exfiltratiefout waarmee conversatiegegevens heimelijk geëxtraheerd konden worden via een enkele kwaadaardige prompt, en een Codex-kwetsbaarheid waarmee GitHub-tokens gecompromitteerd konden worden.

The Hacker News · SecurityWeek

📊 Datalekken & Incidenten

Lloyds Banking Group — Transactiegegevens van 450.000 gebruikers blootgesteld

Hoog datalek bankwezen

Een foutieve software-update bij Lloyds Banking Group leidde ertoe dat transactiegegevens van mobiel bankieren-gebruikers werden blootgesteld aan andere gebruikers van de applicatie, met gevolgen voor ongeveer 450.000 personen.

SecurityWeek

CareCloud Zorgplatform — Mogelijk datalek

Gemiddeld gezondheidszorg datalek

Zorg-IT-platform CareCloud meldde een cyberbeveiligingsincident waarbij een van hun elektronische patiëntendossieromgevingen betrokken is. Het onderzoek loopt nog.

SecurityWeek

Anthropic Claude Code broncode gelekt

Gemiddeld lek ai

Anthropic lekte per ongeluk de broncode van Claude Code (closed source) via een npm-pakket. Het bedrijf zegt dat er geen klantgegevens of inloggegevens zijn blootgesteld.

BleepingComputer

🦠 Malware & Dreigingsactoren

Silver Fox / AtlasCross RAT-campagne — Typosquatting in heel Azië

apt rat typosquatting

De Chinese cybercriminaliteitsgroep Silver Fox voert een actieve campagne met 11+ typosquatting-domeinen die Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams en andere diensten nabootsen om de nieuw gedocumenteerde AtlasCross RAT te verspreiden. Dit vertegenwoordigt een evolutie ten opzichte van hun eerdere Gh0st RAT-afgeleiden.

The Hacker News

Venom Stealer — Continue diefstal van inloggegevens

infostealer maas

Venom Stealer, een gelicenseerde malware-as-a-service met ingebouwde persistentie en automatisering, stelt aanvallers in staat om continu inloggegevens, sessiegegevens en cryptocurrency-activa te onttrekken aan gecompromitteerde systemen.

SecurityWeek

TeamPCP verschuift van OSS naar AWS-omgevingen

cloud aws laterale-beweging

Na het valideren van gestolen inloggegevens met TruffleHog is de TeamPCP-hackgroep waargenomen bij het starten van AWS-diensten-enumeratie en laterale bewegingsactiviteiten — een uitbreiding van open-source supply-chain-aanvallen naar compromittering van cloudinfrastructuur.

SecurityWeek

📡 Opkomende trends

AI-agentbeveiliging wordt een kritieke zorg

Meerdere berichten in deze cyclus benadrukken het groeiende aanvalsoppervlak rond AI-agents:

  • CrewAI sandbox-ontsnapping via prompt-injectieketenreacties
  • Vertex AI-machtigingsmisbruik voor toegang tot cloudgegevens
  • OpenAI Codex GitHub-tokencompromittering
  • LLM's die stilzwijgend toegangscontrole doorbreken — Rego/Cedar-beleidsregels schrijven met ontbrekende voorwaarden
  • Groeiende consensus dat AI-agents zero-trust-verificatie nodig hebben, geen impliciet vertrouwen

Industrialisering van supply-chain-aanvallen

De gelijktijdige compromittering van Trivy, LiteLLM, Checkmarx en nu Axios door de TeamPCP-groep toont aan dat supply-chain-aanvallen op industriële schaal worden uitgevoerd. Kernpatroon: compromitteer beheeraccounts → injecteer afhankelijkheden → steel CI/CD-inloggegevens → draai door naar cloudinfrastructuur.

Versnelling van de kwantumcomputingdreiging

Google-onderzoekers toonden aan dat het kraken van Bitcoin- en Ethereum-versleuteling 20× minder qubits vereist dan eerder geschat. Hoewel nog niet direct praktisch toepasbaar, versnelt dit de tijdlijn voor de urgentie van migratie naar post-kwantumcryptografie aanzienlijk.

SecurityWeek

🛠️ Tools & Releases

Proton Meet — Privacygerichte videoconferenties

Proton lanceerde Meet, een privacygericht videoconferentieplatform gepositioneerd als alternatief voor Google Meet, Zoom en Microsoft Teams. Standaard end-to-end versleuteld.

BleepingComputer

Censys haalt $70M op voor internetintelligentieplatform

Censys haalde $70M op (totaal: $149M) om zijn internetintelligentieplatform voor aanvalsoppervlakbeheer en dreigingsjacht uit te breiden.

SecurityWeek