Tag Archief van: malware

TrapDoor supply-chain-aanval steelt wachtwoorden van ontwikkelaars

in

Onderzoekers hebben een gecoördineerde supply-chain-aanval ontdekt, TrapDoor genaamd. De aanvallers verspreiden ongemerkt malware via npm, PyPI en Crates.io  die inloggegevens steelt. De campagne, die op 22 mei 2026 begon, omvat meer dan 34 kwaadaardige packages in ruim 384 versies. De malware verzamelt secrets zoals crypto-wallets, SSH-sleutels, cloud-tokens, browserdata en omgevingsvariabelen, en zorgt voor persistentie op geïnfecteerde systemen.

Ontwikkelaars kunnen geïnfecteerd worden doordat ze auto-updates van veelgebruikte libraries in software aan hebben staan. Wanneer een ontwikkelaar een nieuwe versie uitbrengt, worden herbruikbare onderdelen automatisch opgehaald van zogenaamde registries op het internet. Als deze geïnfecteerd worden, dan bevat software dat gebruik maakt van deze registries automatisch ook de malware.

Omvang en tijdlijn

De aanval startte op 22 mei 2026 om 20:20 UTC, toen een groep accounts in korte tijd nieuwe packages publiceerde op de drie grote registries. Latere aanvallen voegden tientallen varianten toe. Volgens The Hacker News telt de campagne inmiddels 34 unieke namen en 384 releases. Een andere groep gebruikte eerder de naam “TrapDoor” voor een Android-ad-fraudecampagne, maar die staat los van deze aanval.

Uit onderzoek van Socket.dev blijkt dat de packages gericht zijn op ontwikkelaars in de cryptocurrency- en AI-sectoren. De payload zoekt naar secrets zoals crypto-walletbestanden, SSH-sleutels, cloud-credentials, browserdata en omgevingsvariabelen. De malware valideert AWS- en GitHub-tokens en kan zich via SSH verder verspreiden.

Lijst met kwaadaardige packages

Onderzoekers hebben meer dan 30 namen geïdentificeerd. Enkele recente voorbeelden:

  • Crates.io: move-analyzer-build, sui-framework-helpers, sui-sdk-build-utils
  • npm: async-pipeline-builder, defi-env-auditor, wallet-backup-verifier
  • PyPI: cryptowallet-safety, defi-risk-scanner, eth-security-auditor

De volledige lijst staat in de documentatie op de Socket-website.

Gevolgen voor ontwikkelaars

Omdat de malware schuilgaat achter legitiem ogende namen en standaard installatie-hooks gebruikt, lopen ontwikkelaars die deze packages installeren of importeren risico dat hun credentials uitlekken. De persistentiemechanismen vergroten de kans dat een aanvaller toegang behoudt na de eerste infectie. Projecten die afhankelijk zijn van npm, PyPI of Crates.io doen er goed aan recente of onbekende dependencies te controleren en extra maatregelen te nemen, zoals lockfiles en handtekeningverificatie.

Supply chain attacks op NPM en PyPI

Magecart aanval maakt 8,8 miljoen slachtoffers wereldwijd

in

Beveiligingsonderzoekers ontdekten een web-skimmingoperatie die wereldwijd meer dan 8,8 miljoen slachtoffers maakte. Sinds januari 2022 vielen de criminelen legitieme webshops aan, waarbij er in het afrekenproces malware wordt geïnjecteerd om zo creditcardgegevens te stelen.

Magecart

De campagne is een voorbeeld van een Magecart-aanval. Magecart verwijst naar een verzameling criminele groepen die kwaadaardige JavaScript-code injecteren in legitieme online winkels. De naam ontstond bij aanvallen op sites die op het Magento-platform waren gebouwd, maar de methoden zijn in de loop der tijd uitgebreid naar vele andere e-commercesystemen. Het team van Silent Push herleidde de operatie tot een domein, cdn-cookie.com, dat werd gehost op een zogenoemde bullet-proof hostingdienst die voorheen bekendstond als Stark Industries en nu onder Nederlandse eigenaar is omgedoopt tot THE[.]Hosting.

Analyse van de malware

Wanneer een klant een gecompromitteerde afrekenpagina bezoekt, wordt het geïnjecteerde script – vaak recorder.js of tab-gtm.js genoemd – in de browser uitgevoerd. Het controleert eerst het Document Object Model (DOM) op een element met de naam wpadminbar, een werkbalk die op WordPress-sites verschijnt wanneer een beheerder is aangemeld. Als de werkbalk wordt gedetecteerd, verwijdert het script zichzelf van de pagina en stopt het met uitvoeren, een techniek die is ontworpen om detectie door sitebeheerders te voorkomen.

De malware wordt geactiveerd wanneer het DOM van de pagina verandert, wat gebeurt zodra een gebruiker een actie op de site uitvoert. Vervolgens controleert het script of de gebruiker Stripe als betaalmethode heeft gekozen. Als Stripe is geselecteerd, zoekt het script naar de flag wc_cart_hash in de localStorage van de browser. Het mechanisme zorgt ervoor dat de gebruiker slechts één keer wordt getarget.

Wanneer de flag ontbreekt, vervangt het script het legitieme Stripe-formulier door een vervalst formulier dat identiek lijkt aan het echte. Het nepformulier verzamelt het de creditcardgegevens en contactgegevens en verstuurt deze het domein lasorie.com. Omdat het script de originele Stripe-velden verbergt, meldt de betalingsgateway bij het afrekenen een fout, waardoor het lijkt alsof de klant verkeerde informatie heeft ingevoerd. Als de gebruiker het opnieuw probeert wordt de malware niet opnieuw actief, zodat de betaling de tweede keer wel werkt en de gebruiker niets doorheeft.

Verspreiding

Wereldwijd zijn er meer dan 8,8 miljoen slachtoffers van deze online skimming. Webshop eigenaren kunnen hun klanten beschermen door te voorkomen dat hun website gehackt wordt door ervoor te zorgen dat hun website gehardened is, beveiligingsupdates op tijd uitgevoerd worden en de website op veiligheid getest is, bijvoorbeeld met een pentest.

Weten of jouw webshop veilig is? Neem contact met ons op. We helpen je graag!

Opnieuw malware aangetroffen in VS Code Extensies

in

In november 2025 meldden cybersecurity-onderzoekers een nieuwe golf van malware die zich richt op Visual Studio Code (VS Code)-extensies. De campagne, genaamd GlassWorm, werd eind oktober voor het eerst geïdentificeerd door Koi Security en is sindsdien opnieuw opgedoken bij andere extensies.

Drie extensies zijn nog steeds beschikbaar in het Open VSX-register, een openbare repository die de Microsoft Extension Marketplace weerspiegelt. De getroffen extensies zijn ai-driven-dev (3.402 downloads), adhamu.history-in-sublime-merge (4.057 downloads) en yasuyuky.transient-emacs (2.431 downloads). De extensies bevatte code die is verstopt is met onzichtbare Unicode-tekens, een techniek die kwaadaardige payloads verbergt voor gewone code-reviews en statische analysetools.

Glassworm

De doelstellingen van GlassWorm zijn drievoudig: ten eerste verzamelt het inloggegevens van het Open VSX-register, GitHub en verschillende cryptocurrency-wallet-extensies; ten tweede rooft het tegoeden uit ongeveer 49 wallet-extensies; en ten derde installeert het extra tools die externe toegang tot geïnfecteerde machines mogelijk maken. De malware verspreidt zich ook verder door de gestolen inloggegevens te gebruiken om andere extensies te compromitteren.

Open VSX ontdekte de kwaadaardige extensies op 21 oktober, waarna het deze verwijderde en de de bijbehorende toegangstokens roteerde. Ondanks deze maatregelen wijst recente analyse van Koi Security erop dat het nog steeds mogelijk is om nieuwe extensies te infecteren via dezelfde Unicode-truc. Daarnaast is er een nieuwe transactie op de Solana-blockchain waargenomen. Deze transactie bevatte een bijgewerkt C2-eindpunt, waarmee de malware in staat wordt gesteld om een volgende payload te downloaden. Volgens onderzoekers Idan Dardikman, Yuval Ronen en Lotan Sery van Koi Security illustreert het gebruik van blockchain voor command-and-control (C2) de veerkracht van de aanvallers: zelfs wanneer een hostingserver offline gaat, volstaat een goedkope transactie om een nieuw eindpunt te publiceren, waarna geïnfecteerde systemen automatisch de nieuwe locatie ophalen.

Verspreiding

Tijdens aanvullend onderzoek identificeerde de beveiligingsleverancier een endpoint dat onbedoeld was blootgesteld op de server van de aanvaller. Het endpoint leverde een gedeeltelijke lijst van slachtoffers op, verspreid over de Verenigde Staten, Zuid-Amerika, Europa en Azië, waaronder een belangrijke overheidsinstantie in het Midden-Oosten. De vermoedelijke herkomst van de malware kwam aan het licht via keylogger-data, vermoedelijk afkomstig van een machine van de aanvallers zelf. Analisten identificeerden de dreigingsactor als Russischtalig en ontdekten dat hij gebruikmaakt van het open-source browser-extensie-C2-framework RedExt.

In een verwant onderzoek publiceerde Aikido Security bevindingen waaruit blijkt dat GlassWorm zijn focus heeft verbreed naar GitHub. Gestolen GitHub-inloggegevens worden nu gebruikt om kwaadaardige commits in repositories te pushen, wat de potentiële schade aan open-sourceprojecten vergroot.