Contents

De builds draaien zoals elke dag. Geen fouten, geen waarschuwingen. De CI/CD-pipeline verwerkt code, draait tests en zet door naar productie. Alles staat op groen.

Drie weken later ontdekt een engineer dat er credentials op een externe server staan. GitHub-tokens, API-keys, database-wachtwoorden. De vraag die volgt is simpel maar confronterend: hoe zijn die daar gekomen?

Het antwoord zit in een dependency die niemand heeft gecontroleerd. Een npm-package dat 19.000 keer werd gedownload en bij elke installatie een post-install script draaide. Dat script haalde environment variables op en stuurde ze door. Geen alarm, geen detectie. Het draaide gewoon mee in het buildproces.

“De dreiging zit niet meer aan de poort, maar in de pipeline.”

  • Leon Smit, General Manager bij Acora

Moderne aanvallen beginnen niet met een inbraak. Ze beginnen met processen die organisaties elke dag gebruiken en volledig vertrouwen.

Waar de verschuiving zichtbaar wordt

Aanvallers richten zich op drie gebieden waar vertrouwen automatisch wordt gegeven: de tools waarmee je bouwt, de identiteiten die toegang hebben en de AI-diensten die productiviteit beloven.

In softwareontwikkeling worden legitieme platformen als wapen ingezet:

  • Visual Studio Code-extensies verstoppen trojans in dependency-folders en maken gebruik van vertrouwde npm-packages. De code wordt aangepast, een JavaScript-dropper toegevoegd en binaries vermomd als PNG-bestanden. Developers zien niets vreemds. De functionaliteit werkt zoals beloofd.
  • GitHub-repositories verspreiden malware via nep-repos die zich voordoen als OSINT-tools, DeFi-bots en GPT-utilities. Ze gebruiken mshta.exe om payloads op te halen en installeren infostealers die credentials verzamelen zonder dat antivirus het opmerkt.
  • Social engineering combineert met technische omzeiling. Gebruikers krijgen een melding die eruitziet als een verificatiestap met de instructie: open het Windows Run-venster en voer dit commando uit. Wat volgt is een loader die volledig in het geheugen werkt en geen bestanden op disk achterlaat.
  • Kwaadaardige packages halen bij het uitvoeren van builds GitHub-tokens en CI/CD-geheimen op en schrijven ze weg naar externe servers. De automatische processen lopen door, meldingen blijven stil en dashboards tonen alleen groen.

Voor wie er middenin zit lijkt alles gewoon te werken. Tot iemand merkt dat er data ontbreekt of wachtwoorden opduiken op forums. Die schijn van normaliteit maakt deze aanvallen gevaarlijk. Ze verschuilen zich in de dagelijkse routines die bedoeld waren om tijd te besparen.

Browser-extensies als toegangspoort

Een supply chain-aanval trof meer dan 4,3 miljoen gebruikers via Chrome en Edge-extensies. De campagne compromitteerde extensies die jarenlang als betrouwbaar werden beschouwd. Door auto-update mechanismen kreeg de aanvaller toegang tot sessiecookies van Microsoft 365, Google Workspace en andere SaaS-platforms.

Sessiecookies zijn krachtiger dan wachtwoorden. Een aanvaller met een gestolen sessiecookie hoeft geen wachtwoord te raden of MFA te omzeilen. Hij gebruikt gewoon de actieve sessie van het slachtoffer.

Dit verklaart waarom organisaties die MFA verplicht stellen toch getroffen worden. De authenticatie heeft al plaatsgevonden. De sessie is legitiem. Wat ontbreekt is zicht op wat er met die sessie gebeurt nadat toegang is verleend.

Een andere campagne verstopte JavaScript in Firefox-extensie logo’s. Het bestand dat als icoon diende bevatte uitvoerbare code die zich activeerde zodra de extensie werd geladen. Geen alarmerende installatieprompts, geen verdachte permissies, gewoon een extensie die deed wat de beschrijving beloofde.

Een VPN-extensie, geïnstalleerd door zes miljoen gebruikers, verzamelde stiekem conversaties uit AI-chatbots zoals ChatGPT en Copilot. Gebruikers die in hun werk vragen stelden aan AI-tools deelden onbewust bedrijfsdata met de maker van de extensie, die deze informatie doorverkocht aan third parties.

Identiteit zonder inbraak

Bij een cloudprovider kregen aanvallers toegang tot een portal waar klanten back-ups beheerden. Die back-ups bevatten VPN-configuraties, firewall-instellingen en toegangscredentials. De aanval vereiste geen exploit of kwetsbaarheid. Iemand logde in met geldige credentials en navigeerde naar data die toegankelijk was binnen dat portaal.

Een zakelijke softwaresuite werd getroffen door een vergelijkbare aanpak. Zwak geconfigureerde toegangsrechten gaven aanvallers de mogelijkheid om zich te bewegen door modules die normaal gesproken gescheiden zijn. Salarisverwerking, financiële rapportages, klantgegevens: alles werd bereikbaar via een account dat te ruime rechten had gekregen.

Netwerkapparatuur aan de rand van organisaties werd maandenlang gecompromitteerd via een backdoor. Het verkeer dat door deze systemen liep werd afgeluisterd zonder dat monitoring-tools iets afwijkends detecteerden. De activiteit viel binnen normale parameters. Er was geen DDoS, geen poort-scan, geen brute kracht. Gewoon een actor die meekeek met het verkeer dat legaal door het systeem bewoog.

Het probleem is dat veel organisaties nog steeds bouwen op het principe van “eenmaal binnen, overal toegang”. Accounts krijgen rechten die ze nodig hebben voor hun functie, maar die rechten worden zelden herzien. Serviceaccounts draaien jaren zonder dat iemand nog weet waarvoor ze oorspronkelijk zijn aangemaakt. Tokens verlopen niet of worden verlengd zonder controle op wie ze gebruikt.

Dat maakt identity tot het zwakste punt in moderne IT. Je kunt patchen wat je wilt, maar als iemand met legitieme credentials binnenkomt, ziet geen enkele firewall of IDS dat als een probleem.

AI maakt de aanvaller sneller

Waar traditionele pentests weken duurden, kunnen aanvallers nu binnen uren kwetsbaarheden vinden en exploiteren. AI-tools die werden ontwikkeld voor red teams worden nu gebruikt door criminelen om systematisch omgevingen te scannen en aanvallen te automatiseren.

Op dark web-forums verschijnen kwaadaardige taalmodellen die zijn getraind op aanvalstechnieken. Ze helpen bij het schrijven van exploits, het genereren van phishing-mails en het maken van ransomware-notes. De modellen zijn niet perfect en maken fouten, maar ze verlagen de drempel. Iemand zonder technische achtergrond kan nu tools gebruiken die voorheen alleen beschikbaar waren voor ervaren aanvallers.

Vier trends versnellen dit proces:

  • Geavanceerde phishing kits circuleren op Telegram voor €200 tot €351. Elke kit bevat technieken om MFA te omzeilen, hidden iframes om credentials te stelen en AI-gestuurde automatisering om phishing-pagina’s aan te passen aan het doelwit. Ze bevatten ook functies die analyse bemoeilijken en geofencing om detectie te ontwijken.
  • Kwetsbaarheden in AI-gestuurde code-editors maken data-exfiltratie en remote code execution mogelijk. Deze tools blijken vatbaar voor prompt injection, waarbij aanvallers kwaadaardige instructies injecteren via verborgen karakters in bestanden of via URLs. Die instructies worden uitgevoerd alsof ze van de ontwikkelaar zelf komen.
  • SVG-gebaseerde clickjacking omzeilt traditionele bescherming zoals X-Frame-Options en Content Security Policy. Door SVG-filters te gebruiken kan een aanvaller pixels lezen van pagina’s in een iframe, zelfs als die pagina’s beschermd zijn door same-origin policy. De techniek werkt in meerdere browsers.
  • Sturing via blockchain maakt infrastructuur moeilijk uit te schakelen. Aanvallers verplaatsen command-and-control naar gedecentraliseerde platforms zoals Solana en Ethereum. Kwaadaardige code staat verspreid, wordt goedkoop gehost en is lastig te blokkeren.

Deze automatisering verandert het speelveld volledig. De tijd tussen ontdekking en aanval is zo kort geworden dat traditionele patchrondes het tempo niet meer kunnen bijhouden.

Wat werkelijk moet veranderen

Deze ontwikkelingen zijn symptomen van een fundamentele verschuiving. Traditionele security richtte zich op detectie: zoek naar aanvallen die eruitzien als aanvallen. Moderne dreigingen zien er echter uit als dagelijks werk. Ze gebruiken legitieme tools, geldige credentials en vertrouwde processen.

Organisaties moeten vier gebieden tegelijk aanpakken:

  • SASE brengt netwerkbeveiliging en toegangscontrole samen. Medewerkers kunnen veilig verbinding maken met applicaties en data, ongeacht waar ze werken. De locatie bepaalt niet langer het beveiligingsniveau.
  • CNAPP geeft overzicht van wat er in cloudomgevingen draait. Kwetsbaarheden, configuraties en workloads worden zichtbaar. Je ziet wat zich afspeelt tussen containers en microservices, welke risico’s er zijn en waar configuraties afwijken van wat je verwacht**.**
  • ITDR volgt continu het gedrag van accounts en slaat alarm bij afwijkingen die niet passen bij normale patronen. Het detecteert wanneer credentials worden misbruikt, ook als de authenticatie legitiem lijkt. Een login om 3 uur ‘s nachts vanuit een onbekend land krijgt aandacht, ook al kloppen de gegevens**.**
  • Continue validatie test doorlopend of beveiligingsmaatregelen in de praktijk werken. In plaats van één keer per jaar een pentest, controleer je continu. Je simuleert aanvallen zoals ze echt plaatsvinden: een dependency met kwaadaardige code, een OAuth-prompt die toegang vraagt, een extensie die meer doet dan beloofd.

“De enige duurzame oplossing is volwassen security governance.”

  • Leon Smit, General Manager bij Acora

Governance betekent hier niet meer papierwerk of extra processen. Het betekent dat je weet wat er draait, wie toegang heeft en waarom die toegang nodig is. Het betekent dat elke dependency wordt gecontroleerd voordat hij in de build gaat, dat elke OAuth-app wordt gereviewd voordat hij rechten krijgt en dat tokens een levensduur hebben die afgedwongen wordt.

Grip terugpakken begint vandaag

Er zijn stappen die direct verschil maken:

  • Controleer welke extensies je team gebruikt en of die extensies toegang hebben tot bedrijfsdata. Verwijder extensies die niet strikt nodig zijn of die door individuele medewerkers zijn geïnstalleerd zonder goedkeuring.
  • Scan je CI/CD-pipelines op credentials die per ongeluk in code zijn beland. GitHub-tokens, AWS-keys, database-wachtwoorden horen niet in repositories. Geautomatiseerde scanning kan dit detecteren voordat code wordt gepusht.
  • Review je OAuth-apps maandelijks. Welke apps hebben toegang tot Microsoft 365, Google Workspace of Salesforce? Wie heeft die toegang goedgekeurd en wanneer? Als niemand het antwoord weet, trek de toegang dan in totdat er een eigenaar is.
  • Vernieuw credentials voor serviceaccounts die langer dan zes maanden actief zijn. Als niemand weet waarvoor een account wordt gebruikt, is de kans groot dat het niet meer nodig is.
  • Implementeer monitoring op inloggedrag, niet alleen op mislukte pogingen. Een geslaagde login om 3 uur ‘s nachts vanuit een land waar je organisatie niet actief is, verdient onderzoek, ook als de credentials kloppen.
  • Test je MFA-configuratie op session hijacking. Als een aanvaller een sessiecookie steelt, blijft de MFA-check dan geldig? Zo ja, dan beschermt MFA je minder dan je denkt.
  • Breng AI-tools onder governance. ChatGPT, Copilot en vergelijkbare diensten zijn productief, maar alleen als medewerkers weten wat ze er wel en niet in mogen invoeren. Zonder beleid gaan bedrijfsgeheimen de deur uit via tools die data delen met externe partijen.

Deze stappen voorkomen niet elk incident, maar ze verkleinen het aanvalsoppervlak aanzienlijk. Organisaties die ze toepassen krijgen zicht op bewegingen die voorheen onzichtbaar waren.

Wie zijn omgeving kent, blijft in controle. Wie dat niet kan, merkt pas dat er iets mis is als de schade al is aangericht.

Wil je weten hoe jouw organisatie deze aanvallen kan herkennen voordat ze schade aanrichten?

Plan een gesprek met Leon Smit via netherlands@acora.com of via de contactpagina van Acora Nederland.

Insights by Leon Smit