Er is waargenomen dat een onbekende bedreigingsacteur misbruik maakt van een onlangs onthulde beveiligingsfout met de hoogste ernst in SimpleHelp om twee voorheen niet-gerapporteerde malwarefamilies te leveren: TaakWever En Djinn Stealer.
De inbreuk impliceert de exploitatie van CVE-2026-48558 (CVSS-score: 10,0), een kritieke kwetsbaarheid voor het omzeilen van authenticatie die van invloed is op de OpenID Connect (OIDC)-stroom en die een niet-geverifieerde aanvaller zou kunnen misbruiken om een volledig geverifieerde ‘Technicussessie’ te verkrijgen door een vervalst token in te dienen met willekeurige identiteitsclaims.
“TaskWeaver is een zwaar versluierde Node.js-lader, geleverd als jquery.js en uitgevoerd via node.exe, die een gecodeerd, herbruikbaar kanaal voor het leveren van payloads implementeert in plaats van een vaste set post-exploitatieopdrachten”, zei Blackpoint Cyber in een analyse. “De waargenomen tweede fase-payload, Djinn Stealer, richt zich op Windows-, macOS- en Linux-systemen.”
Djinn Stealer is ontworpen om inloggegevens te verzamelen die verband houden met cloudplatforms, bronbeheer, pakketregisters, infrastructuurtools, AI-ontwikkelingsassistenten, browsers, SSH en cryptocurrency-portefeuilles.
Details van CVE-2026-48558 kwamen eerder deze maand naar voren toen Horizon3.ai, die de fout ontdekte, zei dat het gevolgen heeft voor servers die zijn geconfigureerd om generieke OIDC of Azure AD OIDC te gebruiken en dat het voortkomt uit de manier waarop SimpleHelp de IdP-beweringen valideert.
“In veel SimpleHelp-implementaties waarin authenticatie van het OIDC-type is ingeschakeld, kan een niet-geverifieerde aanvaller een nieuwe ‘Technician’-gebruiker aanmaken en zich authenticeren”, zegt Horizon3.ai-beveiligingsonderzoeker Zach Hanley. “Deze technicus kan standaard bevoorrechte beheeractiviteiten uitvoeren, zoals externe toegang tot beheerde eindpunten, het uitvoeren van scripts en meer.”
“Zelfs wanneer de SimpleHelp-server is geconfigureerd om MFA voor technici af te dwingen, zorgt dit probleem ervoor dat de aanvaller dit mechanisme kan omzeilen, omdat technici bij de eerste keer inloggen zelf hun eigen MFA-methode kunnen registreren.”
In de door Blackpoint Cyber gedocumenteerde aanvalsketen zou de succesvolle uitbuiting van de fout in de Remote Monitoring and Management (RMM)-software de bedreigingsactor in staat hebben gesteld een geverifieerde ‘Technician’-sessie te verkrijgen op een publiekelijk toegankelijke server, die vervolgens werd misbruikt om TaskWeaver en Djinn Stealer in te zetten.
“Het gecompromitteerde RMM-platform voorzag de operator van een vertrouwd administratief kanaal dat bestanden kon overbrengen en opdrachten kon uitvoeren op systemen die via de server werden beheerd”, aldus onderzoekers Nevan Beal en Sam Decker.
TaskWeaver is een modulaire Node.js-lader die vingerafdrukken van het systeem kan maken, gecodeerde communicatie tot stand kan brengen met een externe server (“a.dev-tunnels(.)com”) en extra JavaScript-payloads kan ophalen en uitvoeren met verhoogde toegang tot de Node.js-runtime. De laatste fase is een informatiedief die is ontworpen om waardevolle gegevens over te hevelen van gecompromitteerde Windows-, macOS- of Linux-hosts.
De omvang van de informatie waarop de dief zich richt, is als volgt:
- Inloggegevens, geschiedenis en bladwijzers opgeslagen in webbrowsers
- Configuratie- en authenticatiegegevens geassocieerd met AWS, Azure, Google Cloud, Oracle Cloud Infrastructure, Okta, Cloudflare, DigitalOcean, Linode, Heroku, Vercel, Railway, Supabase, Pulumi, Terraform, HashiCorp Vault en Consul
- GitHub CLI-gegevens
- Git-configuratie
- SSH-sleutels
- Docker-authenticatie
- Helm-registerinformatie
- S3- en MinIO-clientconfiguraties
- Subversiereferenties
- Referenties voor npm, pnpm, Yarn, NuGet, Cargo, Composer, Maven, Gradle, pip, PyPI, Conda, Bun, Ivy en Scala Build Tool
- Configuratie-, authenticatie-, sessie- en projectgegevens geassocieerd met Anthropic Claude, Google Gemini, OpenAI Codex, Cline, OpenCode en Kilo
- Cryptocurrency-portefeuilles en sleutelopslagplaatsen geassocieerd met Bitcoin, Litecoin, Dogecoin, Dash, Ethereum, Monero, Zcash, Exodus, Atomic Wallet en Electrum
Op Linux-systemen probeert de malware ook de tekst “/proc/
Zodra de informatie is verzameld, wordt deze verpakt in een TAR-archief, gecomprimeerd met GZIP, gecodeerd met een AES-256-GCM-sleutel beschermd door een openbare RSA-2048-sleutel ingebed in TaskWeaver, en geëxfiltreerd naar een door de aanvaller gecontroleerde infrastructuur (“96.126.130(.)126:58942”).
De campagne illustreert hoe bedreigingsactoren steeds meer achter platforms op basis van kunstmatige intelligentie (AI) aan gaan naarmate de technologie wordt ingebed in bedrijfsworkflows, waardoor ze de rechten van de AI-assistenten kunnen misbruiken om toegang te krijgen tot gevoelige gegevens.
“Een enkele authenticatie-bypass werd een toegangspoort tot alles wat de beheerde systemen konden bereiken, van cloudplatforms en codeopslagplaatsen tot AI-tools, cryptocurrency-portefeuilles en klantinfrastructuur”, aldus de onderzoekers.
“Inloggegevens die toegankelijk zijn vanaf een ontwikkelaars- of beheerderswerkstation kunnen toegang bieden tot de productie-infrastructuur, pijplijnen bouwen, broncodeopslagplaatsen, implementatieplatforms, cloudtenants en klantomgevingen, lang nadat het oorspronkelijke eindpunt is ingesloten.”
De actieve exploitatie van CVE-2026-48558 heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om het toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor agentschappen van de Federal Civilian Executive Branch (FCEB) de oplossingen vóór 2 juli 2026 moeten toepassen.
