Oud draaiboek, nieuwe schaal: Terwijl verdedigers trends najagen, optimaliseren aanvallers de basis
De beveiligingsindustrie praat graag over ‘nieuwe’ bedreigingen. AI-aangedreven aanvallen. Kwantumbestendige codering. Zero-trust-architecturen. Maar als we om ons heen kijken, lijkt het erop dat de meest effectieve aanvallen in 2025 vrijwel hetzelfde zijn als in 2015. Aanvallers maken misbruik van dezelfde toegangspunten die werkten – ze doen het alleen beter.
Supply Chain: nog steeds stroomafwaarts
Zoals de Shai Hulud NPM-campagne ons heeft laten zien, blijft de toeleveringsketen een groot probleem. Eén enkel gecompromitteerd pakket kan door een hele afhankelijkheidsboom lopen en duizenden downstream-projecten beïnvloeden. De aanvalsvector is niet veranderd. Wat er is veranderd, is hoe efficiënt aanvallers kansen kunnen identificeren en benutten.
AI heeft de toetredingsbarrière weggenomen. Net zoals AI softwareprojecten van één persoon in staat heeft gesteld geavanceerde applicaties te bouwen, geldt hetzelfde voor cybercriminaliteit. Wat vroeger grote, georganiseerde operaties vereiste, kan nu worden uitgevoerd door kleine teams, zelfs individuen. We vermoeden dat sommige van deze NPM-pakketaanvallen, waaronder Shai-Hulud, in werkelijkheid door één persoon kunnen worden uitgevoerd.
Naarmate softwareprojecten eenvoudiger te ontwikkelen worden en bedreigingsactoren het vermogen tonen om het lange spel te spelen (zoals bij de XZ Utils-aanval), zullen we waarschijnlijk meer gevallen zien waarin aanvallers legitieme pakketten publiceren die in de loop van de tijd vertrouwen opbouwen, en op een dag met een klik op de knop kwaadaardige mogelijkheden injecteren in alle downstream-gebruikers.
Phishing: nog slechts één klik verwijderd
Phishing werkt nog steeds om dezelfde reden als altijd: mensen blijven de zwakste schakel. Maar de inzet is dramatisch veranderd. De recente npm supply chain-aanval demonstreert het rimpeleffect: een ontwikkelaar klikte op een slechte link, voerde zijn inloggegevens in en zijn account werd gecompromitteerd. Pakketten met tientallen miljoenen wekelijkse downloads werden vergiftigd. Ondanks dat de ontwikkelaar het incident publiekelijk aan npm rapporteerde, kostte het oplossen tijd – en gedurende die periode verspreidde de aanval zich op grote schaal.
Officiële winkels: nog steeds niet veilig
Misschien wel het meest frustrerend: malware blijft de officiële poortwachters omzeilen. Ons onderzoek naar kwaadaardige Chrome-extensies die ChatGPT- en DeepSeek-gesprekken stelen, heeft iets onthuld dat we al weten uit mobiele app-winkels: geautomatiseerde beoordelingen en menselijke moderators houden geen gelijke tred met de verfijning van aanvallers.
Het permissieprobleem zou bekend moeten klinken omdat het al is opgelost. Android en iOS geven gebruikers gedetailleerde controle: je kunt locatietoegang toestaan, maar de microfoon blokkeren, cameratoegang alleen toestaan als een app geopend is, niet op de achtergrond. Chrome zou hetzelfde model voor extensies kunnen implementeren – de technologie bestaat. Het is een kwestie van prioriteiten stellen en implementeren.
In plaats daarvan worden gebruikers geconfronteerd met een binaire keuze, waarbij extensies toestemming vragen om ‘informatie van alle websites te lezen’. Als een extensie om dat toegangsniveau vraagt, zal deze in de meeste gevallen voor kwaadaardige doeleinden worden gebruikt, of later worden bijgewerkt om dit te doen.
Aanvallers hebben niet het Shiny Tool Syndroom
Aanvallers hebben hun draaiboek niet weggegooid toen AI arriveerde: ze hebben het geautomatiseerd. Ze maken nog steeds misbruik van toeleveringsketens, phishing-ontwikkelaars en sluipen malware langs reviewers. Ze doen het gewoon met een tiende van de middelen.
We moeten geen glimmende nieuwe verdedigingsstrategieën najagen terwijl de basisprincipes nog steeds niet werken. Machtigingsmodellen repareren. Verscherp de verificatie van de toeleveringsketen. Maak phishing-bestendige authenticatie de standaard. De fundamentele zaken zijn nu belangrijker, niet minder.
Aanvallers hebben de basis geoptimaliseerd. Waar moeten verdedigers prioriteit aan geven? Sluit je aan bij OX voor ons komende webinar: Update over bedreigingsinformatie: wat heeft voor hackers gewerkt en wat hebben de goede jongens gedaan?
We bespreken aanvalstechnieken die steeds meer grip krijgen, wat ze feitelijk tegenhoudt en waar je prioriteit aan moet geven als de middelen beperkt zijn. Registreer hier.
Registreer hier.
Opmerking: dit artikel is exclusief geschreven en bijgedragen door Moshe Siman Tov Bustan, Security Research Team Lead bij OX.
