Default
Door Remote - 31 Mar 2026
Een vermoedelijke Noord-Koreaanse hacker heeft een populaire open source-softwareontwikkelingstool gekaapt en aangepast om malware te leveren waarmee miljoenen ontwikkelaars het risico kunnen lopen te worden gecompromitteerd.
Maandag heeft een hacker kwaadaardige versies van de veelgebruikte JavaScript-bibliotheek Axios gepusht, waarop ontwikkelaars vertrouwen om hun software verbinding te laten maken met internet. De getroffen bibliotheek werd gehost op npm, een softwareopslagplaats waarin code voor open-sourceprojecten wordt opgeslagen. Axios wordt wekelijks tientallen miljoenen keren gedownload.
Volgens beveiligingsbedrijf StepSecurity, dat de aanval analyseerde, werd de kaping van maandag op dinsdag opgemerkt en gestopt.
Hackers richten zich steeds vaker op ontwikkelaars van populaire open-sourceprojecten in een poging iedereen die afhankelijk is van de gecompromitteerde code massaal te hacken, waardoor de hackers mogelijk toegang krijgen tot grote aantallen getroffen apparaten. Dit soort wijdverbreide inbreuken worden supply chain-aanvallen genoemd omdat ze zich richten op software waarmee hackers vervolgens degene die de besmette software heeft gedownload, kunnen hacken. De afgelopen jaren hebben hackers zich gericht op bedrijven als 3CX, Kaseya en SolarWinds, maar ook op open source-tools zoals Log4j en Polyfill.io, om grote aantallen van hun gebruikers te targeten.
Het is op dit moment onduidelijk hoeveel mensen in die periode de kwaadaardige versie van Axios hebben gedownload. Beveiligingsbedrijf Aikido, dat ook het incident onderzocht, zei dat iedereen die de code downloadde “ervan uit moet gaan dat hun systeem gecompromitteerd is.”
Google vertelde TechCrunch dat zijn beveiligingsonderzoekers het Axios-compromis in verband brengen met Noord-Koreaanse hackers.
“We hebben de aanval toegeschreven aan een vermoedelijke Noord-Koreaanse bedreigingsacteur die we volgen als UNC1069”, zegt John Hultquist, hoofdanalist van Google’s Threat Intelligence Group. "Noord-Koreaanse hackers hebben diepgaande ervaring met supply chain-aanvallen, die ze van oudsher hebben gebruikt om cryptocurrency te stelen. De volledige omvang van dit incident is nog steeds onduidelijk, maar gezien de populariteit van het gecompromitteerde pakket verwachten we dat het verstrekkende gevolgen zal hebben."
Techcrunch-evenement
Disrupt 2026: het tech-ecosysteem, alles in één kamer
Jouw volgende ronde. Uw volgende aanwerving. Uw volgende uitbraakmogelijkheid. Je vindt het op TechCrunch Disrupt 2026, waar meer dan 10.000 oprichters, investeerders en technologieleiders samenkomen voor drie dagen vol 250+ tactische sessies, krachtige introducties en marktbepalende innovatie. Registreer nu en bespaar tot $ 400.
Bespaar tot $ 300 of 30% op de TechCrunch Founder Summit
Meer dan 1.000 oprichters en investeerders komen samen op de TechCrunch Founder Summit 2026 voor een volledige dag gericht op groei, uitvoering en schaalvergroting in de echte wereld. Leer van oprichters en investeerders die de sector hebben gevormd. Maak contact met collega's die in vergelijkbare groeifasen navigeren. Ga aan de slag met tactieken die je direct kunt toepassen
Aanbieding eindigt op 13 maart.
San Francisco, CA
|
13-15 oktober 2026
REGISTREER NU
Neem contact met ons op
Heeft u meer informatie over deze hack? Of andere supply chain-aanvallen? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram, Keybase en Wire @lorenzofb, of per e-mail.
De hacker slaagde erin kwaadaardige code binnen Axios te smokkelen door het account van een van de belangrijkste ontwikkelaars van het project in gevaar te brengen, die geautoriseerd was om updates uit te brengen. De hacker verving het e-mailadres van de legitieme ontwikkelaar op het account door zijn eigen e-mailadres, waardoor het voor de ontwikkelaar moeilijker werd om weer toegang te krijgen.
Toen de hacker eenmaal de controle over het account had, voegde hij kwaadaardige code in die was ontworpen om een trojan voor externe toegang, of RAT, te leveren. Dit is in wezen malware die hackers volledige controle op afstand over de computer van een slachtoffer kan geven. De hacker bracht vervolgens nieuwe versies van Axios uit in een legitiem ogende update voor Windows-, macOS- en Linux-gebruikers.
De hackers hebben de malware, evenals een deel van de code die werd gebruikt om deze af te leveren, ook ontworpen om zichzelf na installatie automatisch te verwijderen in een poging zich te verbergen voor anti-malware-engines en onderzoekers, aldus beveiligingsonderzoekers.
Bijgewerkt met informatie van Google over de toeschrijving aan Noord-Korea.
Maandag heeft een hacker kwaadaardige versies van de veelgebruikte JavaScript-bibliotheek Axios gepusht, waarop ontwikkelaars vertrouwen om hun software verbinding te laten maken met internet. De getroffen bibliotheek werd gehost op npm, een softwareopslagplaats waarin code voor open-sourceprojecten wordt opgeslagen. Axios wordt wekelijks tientallen miljoenen keren gedownload.
Volgens beveiligingsbedrijf StepSecurity, dat de aanval analyseerde, werd de kaping van maandag op dinsdag opgemerkt en gestopt.
Hackers richten zich steeds vaker op ontwikkelaars van populaire open-sourceprojecten in een poging iedereen die afhankelijk is van de gecompromitteerde code massaal te hacken, waardoor de hackers mogelijk toegang krijgen tot grote aantallen getroffen apparaten. Dit soort wijdverbreide inbreuken worden supply chain-aanvallen genoemd omdat ze zich richten op software waarmee hackers vervolgens degene die de besmette software heeft gedownload, kunnen hacken. De afgelopen jaren hebben hackers zich gericht op bedrijven als 3CX, Kaseya en SolarWinds, maar ook op open source-tools zoals Log4j en Polyfill.io, om grote aantallen van hun gebruikers te targeten.
Het is op dit moment onduidelijk hoeveel mensen in die periode de kwaadaardige versie van Axios hebben gedownload. Beveiligingsbedrijf Aikido, dat ook het incident onderzocht, zei dat iedereen die de code downloadde “ervan uit moet gaan dat hun systeem gecompromitteerd is.”
Google vertelde TechCrunch dat zijn beveiligingsonderzoekers het Axios-compromis in verband brengen met Noord-Koreaanse hackers.
“We hebben de aanval toegeschreven aan een vermoedelijke Noord-Koreaanse bedreigingsacteur die we volgen als UNC1069”, zegt John Hultquist, hoofdanalist van Google’s Threat Intelligence Group. "Noord-Koreaanse hackers hebben diepgaande ervaring met supply chain-aanvallen, die ze van oudsher hebben gebruikt om cryptocurrency te stelen. De volledige omvang van dit incident is nog steeds onduidelijk, maar gezien de populariteit van het gecompromitteerde pakket verwachten we dat het verstrekkende gevolgen zal hebben."
Techcrunch-evenement
Disrupt 2026: het tech-ecosysteem, alles in één kamer
Jouw volgende ronde. Uw volgende aanwerving. Uw volgende uitbraakmogelijkheid. Je vindt het op TechCrunch Disrupt 2026, waar meer dan 10.000 oprichters, investeerders en technologieleiders samenkomen voor drie dagen vol 250+ tactische sessies, krachtige introducties en marktbepalende innovatie. Registreer nu en bespaar tot $ 400.
Bespaar tot $ 300 of 30% op de TechCrunch Founder Summit
Meer dan 1.000 oprichters en investeerders komen samen op de TechCrunch Founder Summit 2026 voor een volledige dag gericht op groei, uitvoering en schaalvergroting in de echte wereld. Leer van oprichters en investeerders die de sector hebben gevormd. Maak contact met collega's die in vergelijkbare groeifasen navigeren. Ga aan de slag met tactieken die je direct kunt toepassen
Aanbieding eindigt op 13 maart.
San Francisco, CA
|
13-15 oktober 2026
REGISTREER NU
Neem contact met ons op
Heeft u meer informatie over deze hack? Of andere supply chain-aanvallen? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram, Keybase en Wire @lorenzofb, of per e-mail.
De hacker slaagde erin kwaadaardige code binnen Axios te smokkelen door het account van een van de belangrijkste ontwikkelaars van het project in gevaar te brengen, die geautoriseerd was om updates uit te brengen. De hacker verving het e-mailadres van de legitieme ontwikkelaar op het account door zijn eigen e-mailadres, waardoor het voor de ontwikkelaar moeilijker werd om weer toegang te krijgen.
Toen de hacker eenmaal de controle over het account had, voegde hij kwaadaardige code in die was ontworpen om een trojan voor externe toegang, of RAT, te leveren. Dit is in wezen malware die hackers volledige controle op afstand over de computer van een slachtoffer kan geven. De hacker bracht vervolgens nieuwe versies van Axios uit in een legitiem ogende update voor Windows-, macOS- en Linux-gebruikers.
De hackers hebben de malware, evenals een deel van de code die werd gebruikt om deze af te leveren, ook ontworpen om zichzelf na installatie automatisch te verwijderen in een poging zich te verbergen voor anti-malware-engines en onderzoekers, aldus beveiligingsonderzoekers.
Bijgewerkt met informatie van Google over de toeschrijving aan Noord-Korea.