Typosquatting is niet langer een gebruikersprobleem. Het is een supply chain-probleem

Cyberbeveiliging
Typosquatting is niet langer een gebruikersprobleem. Het is een supply chain-probleem

Door AI gegenereerde, vergelijkbare domeinen zijn nu ingebed in de scripts van derden die op uw webproperty’s worden uitgevoerd. Dit is de reden waarom uw huidige stapel ze niet kan zien, en wat detectie eigenlijk vereist.

Download de CISO Expert Guide to Typosquatting in het AI-tijdperk →

TL; DR

  • Typosquatting is niet langer een gebruikersprobleem. Aanvallers integreren nu lookalike-domeinen in legitieme scripts van derden. Geen verkeerd getypte URL vereist, geen serverinbreuk nodig.
  • AI heeft de defensie-economie doorbroken. LLM’s genereren binnen enkele minuten duizenden overtuigende domeinvarianten; volledige campagne-implementatie duurt minder dan tien. Het aantal uploads van kwaadaardige pakketten is vorig jaar met 156% gestegen. Handmatige controle is dood.
  • Uw beveiligingsstack kan dit niet zien. Firewalls, WAF’s, EDR en CSP hebben geen inzicht in wat goedgekeurde scripts doen zodra ze in de browser worden uitgevoerd.
  • De Trust Wallet-aanval bewees het. $ 8,5 miljoen gestolen in 48 uur via een getrojaniseerde Chrome-extensie. Er werd geen waarschuwing afgegeven, niet omdat er iets mislukte, maar omdat er niets keek.

Dit is geen cryptoverhaal

Op 24 december 2025 begonnen Trust Wallet-gebruikers geld te verliezen. Niet omdat ze op een phishing-link hebben geklikt. Niet omdat ze een zwak wachtwoord hebben hergebruikt. Niet omdat ze überhaupt iets verkeerds hebben gedaan.

Een zichzelf replicerende npm-worm genaamd Shai-Hulud was maanden bezig geweest met het verzamelen van inloggegevens van ontwikkelaars: GitHub-tokens, npm-publicatiesleutels en API-gegevens van de Chrome Web Store. Met deze sleutels konden aanvallers een getrojaniseerde versie van de Trust Wallet Chrome-extensie via officiële kanalen pushen. De verificatie van Chrome heeft het doorstaan.

De kwaadaardige extensie wordt volledig in de browsers van gebruikers uitgevoerd, waarbij stilletjes zaadzinnen worden vastgelegd en deze worden verzonden naar de infrastructuur van de aanvaller op een domein dat is vermomd als het eigen analytische eindpunt van Trust Wallet. Binnen 48 uur waren 2.500 portemonnees leeggemaakt. Totaal verlies: $ 8,5 miljoen. Er is geen server gehackt. Er is nooit een waarschuwing afgevuurd.

Haal de basiszinnen weg en wat overblijft is dit: een vertrouwd door een browser geleverd item werd in stilte aangepast om gevoelige gebruikersgegevens te onderscheppen voordat de legitieme applicatie deze kon verwerken, onzichtbaar voor serverlogboeken, firewalls, WAF’s en EDR. Niet omdat deze bedieningselementen verkeerd waren geconfigureerd, maar omdat ze nooit zijn ontworpen om te observeren wat er gebeurt in een browsersessie, zelfs niet in een vergiftigde sessie.

Wissel zaadzinnen uit voor betaalkaartgegevens. Verruil de Chrome-extensie voor een marketingpixel, een ondersteuningswidget of een A/B-testframework. De aanval is identiek. Een typische afrekenpagina voor e-commerce voert 40 tot 60 scripts van derden uit. Elk is een vertrouwde verbinding. Daar zou hetzelfde kunnen gebeuren.

Hoe typosquatting hier terechtkwam: drie fasen

Wat Fase 3 tot een echte evolutie maakt, is niet alleen verfijning, het is economie. LLM’s kunnen binnen enkele minuten duizenden overtuigende domeinvariaties genereren. Homograafaanvallen combineren Latijnse, Cyrillische en Griekse karakters om domeinen te produceren die visueel identiek lijken in de adresbalken van browsers, terwijl detectie van tekenreeksafstanden wordt omzeild. Domeinregistratie, SSL-uitgifte en volledige campagne-implementatie nemen nu minder dan tien minuten in beslag. Uit de gegevens van Sonatype blijkt dat het aantal uploads van kwaadaardige pakketten naar open source-repository’s jaar-op-jaar met 156% is gestegen. Het volume alleen al heeft handmatige controle structureel onmogelijk gemaakt.

Drie aanvallen die het patroon laten zien

Typosquatting richt zich op de domeinlaag, pakketcompromis richt zich op de supply chain en browser-runtime-misbruik richt zich op wat vertrouwde code doet nadat deze is uitgevoerd.

1. Trust Wallet Chrome-extensie (december 2025)

Shai-Hulud verzamelde maandenlang de inloggegevens van ontwikkelaars voordat hij een getrojaniseerde extensie via officiële Chrome Web Store-kanalen pushte. De kwaadaardige extensie heeft zaadzinnen opgevangen en deze doorgestuurd naar een vergelijkbaar analysedomein. 2.500 portemonnees leeggemaakt. $ 8,5 miljoen verloren. Detectietijd: nul. Er is geen zichtbaarheid aan de serverzijde voor de uitvoering van browserruntime.

2. krijt/debug npm-aanval (september 2025)

Een phishing-e-mail gericht op één pakketbeheerder gaf aanvallers toegang tot 18 vertrouwde JavaScript-bibliotheken, inclusief krijt en debug, met samen meer dan twee miljard wekelijkse downloads. Binnen 16 minuten werd kwaadaardige code overal geïnjecteerd, waardoor browser-API’s werden gekoppeld om stilletjes netwerkverkeer en portemonnee-interacties te onderscheppen. Snelle insluiting beperkte de directe verliezen tot ongeveer $ 500. Het belichtingsvenster was niet het verhaal. Twee miljard downloads waren dat.

3. Solana Web3.js bibliotheekaanval (december 2024)

Aanvallers hebben via een phishing-campagne een account met publicatietoegang voor de @solana/web3.js npm-bibliotheek gecompromitteerd en vervolgens kwaadaardige versies gepubliceerd met een verborgen functie die privésleutels tijdens de transactie onderschepte en deze exfiltreerde naar een door de aanvaller gecontroleerd domein dat slechts enkele dagen vóór de aanval was geregistreerd. Elke applicatie die binnen vijf uur automatisch werd bijgewerkt, stuurde de achterdeur rechtstreeks naar zijn gebruikers. Bijna $ 200.000 was kwijtgeraakt vóór ontdekking.

Hoe het compromis tot stand komt: vertrouwen vervangt bedrog

Klassieke social engineering had een mens nodig die op de hoogte was, iemand die een URL verkeerd typte, op een link klikte, een prompt goedkeurde en een afzender vertrouwde. Het was de taak van de aanvaller om vertrouwen te wekken in het moment.

De huidige generatie aanvallen slaat die stap volledig over. Vertrouwen wordt niet langer gefabriceerd, het wordt geërfd. Uw build-pijplijn vertrouwt al op npm. Uw leverancier vertrouwt zijn CDN al. Uw browser vertrouwt de leverancier al. De aanvaller hoeft niemand te misleiden; ze hoeven zichzelf alleen maar ergens in te voegen in een keten van vertrouwen die al is verleend.

Noem het supply chain subversion – de misleiding is niet tegen een persoon gericht; het is gericht op de afhankelijkheidsgrafiek.

De blinde vlek in uw beveiligingsstapel

Een marketingleverancier die in uw webeigenschappen is geïntegreerd, verwijst naar een JavaScript CDN dat zes weken geleden is geregistreerd. Geldige SSL. Herkenbaar domein. Vervolgens wordt het script stilletjes bijgewerkt.

Op uw betaalpagina laadt de browser stilletjes het aangepaste script. Een onzichtbare overlay onderschept toetsaanslagen voordat ze uw toepassing bereiken. Uw serverlogboeken registreren een normale sessie. Geen alarmbranden.

CSP is de controle die het vaakst als verdediging wordt aangehaald. Maar CSP is een gastenlijst, geen gedragsmonitor. Een script op de toelatingslijst dat de velden van uw betalingsformulier leest en de gegevens exfiltreert, is nog steeds volledig toegestaan, omdat de oorsprong vertrouwd is. CSP verzorgt de verbinding. Het kan de executie niet aan.

Kwaadaardig gedrag in 2026 wordt door het ontwerp uitgesteld tot runtime. De pakketten van Shai-Hulud bleven tijdens het automatische scannen inactief en werden alleen geactiveerd onder specifieke runtime-omstandigheden. Statische analyse kan geen payloads detecteren die dynamisch zijn geladen nadat de uitvoering is begonnen.

Wat detectie eigenlijk vereist

Uit het Cost of a Data Breach Report van IBM uit 2025 blijkt dat het gemiddeld 241 dagen duurt voordat een datalek wordt geïdentificeerd. Bij supply chain-aanvallen waarbij kwaadaardig gedrag stil in het browsergeheugen wordt uitgevoerd, kan dat venster aanzienlijk langer zijn, tenzij u naar de runtime kijkt.

Detectie vereist observeren wat scripts feitelijk doen nadat ze zijn uitgevoerd: met welke domeinen ze communiceren, tot welke pagina-elementen ze toegang hebben en hoe hun gedrag afwijkt van de vastgestelde basislijnen. Dat is runtime-gedragsmonitoring, de enige laag die de meeste bedrijfsbeveiligingstacks momenteel missen.

De kenmerken waarop moet worden gelet:

  • Onverwachte gegevensexfiltratie: Scripts lezen formuliervelden en verzenden waarden naar domeinen buiten uw goedgekeurde lijst
  • Dynamische domeinresolutie: Scripts die onlangs geregistreerde domeinen aanroepen of die anders oplossen dan hun basislijn
  • Gedragsdrift: Een script dat zich vorige week normaal gedroeg, heeft deze week nu toegang tot verschillende pagina-elementen.

Het detecteren van een verdacht domein in uw afhankelijkheidsboom is noodzakelijk, maar niet voldoende. Het moeilijkere probleem is om te begrijpen wat het script dat vanuit dat domein wordt geladen, eigenlijk doet. Door AI gegenereerde verduistering is nu specifiek ontworpen om statische analyse te omzeilen: de code passeert linting, bootst legitieme verkleinde bibliotheken na en produceert geen handtekeningovereenkomsten.

Om die kloof te dichten is gedragsdeobfuscatie tijdens runtime nodig, het uitvoeren van het script in een geïnstrumenteerde omgeving en het traceren van het daadwerkelijke gedrag ervan, en niet proberen de bron ervan te lezen. Dat betekent dat we aan het licht moeten brengen waartoe een script daadwerkelijk toegang heeft: formuliervelden, cookies, netwerkeindpunten – ongeacht hoe zwaar de bron onduidelijk is. Het is de aanpak waar Reflectiz zijn AI-deobfuscator omheen heeft gebouwd, en deze wordt gedetailleerd beschreven in de onderstaande gids.

Jouw actieplan

Als u niet zeker weet waar u moet beginnen, prioriteer dan op basis van zichtbaarheid: eerst de betalingspagina’s, daarna de authenticatiepagina’s en daarna de rest. Hier is een praktische reeks:

Deze week:

  • Controleer scripts van derden voor recent geregistreerde CDN-domeinen in uw afhankelijkheidsketen
  • Bekijk CSP-rapporten, niet alleen de overtredingen, maar ook wat uw goedgekeurde herkomsten daadwerkelijk doen
  • Identificeer welke pagina’s gevoelige gegevens verwerken (betaling, login, PII-formulieren) en geef eerst prioriteit aan de monitoring daar

Deze maand:

  • Implementeer runtime-gedragsmonitoring voor betalings- en authenticatiepagina’s
  • Stel gedragsbasislijnen vast voor alle goedgekeurde scripts van derden
  • Implementeer controles op de integriteit van subresources (SRI) waarbij scripts zelf worden gehost of in de cache kunnen worden opgeslagen

Proactieve domeinregistratie, strikte CSP en afgedwongen DMARC zijn noodzakelijk. Ze omvatten domeinregistratie, scriptlevering en e-mailimitatie. Geen ervan behandelt wat er gebeurt nadat een goedgekeurd leveranciersscript stilzwijgend is gewijzigd. Dat is het gat dat de meeste teams pas zien als het te laat is.

De bovenstaande bedieningselementen vertellen u wat u moet doen. Door ze in kaart te brengen aan uw daadwerkelijke omgeving, leveranciersinventaris en nalevingsverplichtingen loopt de uitvoering vast. Reflectiz heeft een CISO Expert Guide gepubliceerd met het volledige raamwerk: domeinbeheer, fundamentele controles, runtime-gedragsmonitoring en een gefaseerde implementatie-roadmap die rond die kloof is opgebouwd.

Download de gids hier →

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

GitHub onderzoekt TeamPCP en claimt inbreuk op ~4.000 interne opslagplaatsen

Webworm implementeert EchoCreep- en GraphWorm-backdoors met behulp van Discord en MS Graph API

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]