Welkom bij Tech Alerts – april 2026
We weten dat je weinig tijd hebt. Daarom hebben we deze nieuwsbrief in het leven geroepen: om door de ruis heen te breken en alleen de meest kritieke waarschuwingen met een grote impact te leveren. Of het nu gaat om een zero-day exploit waarvoor onmiddellijk een patch nodig is of een nieuwe trend in social engineering, ons doel is om u op de hoogte te houden, voor te bereiden en een stap voor te blijven.
In de briefing van deze week:
- Axios npm pakket aangetast in ketenaanval
- Vorige week in overzicht: BlueHammer, RedSun, UnDefend. Drie Windows Defender zero-days. Allemaal actief uitgebuit.
De bedreigingen in de gaten houden zodat jij dat niet hoeft te doen. Hier zijn de essentiële punten van deze maand.
1. Axios npm pakket aangetast in Supply Chain aanval
Op 30-31 maart 2026 werd een van de meest gebruikte JavaScript-bibliotheken veranderd in een wapen.
Axios werd gecompromitteerd nadat een dreigingsacteur het npm-account van de hoofdbeheerder (jasonsaayman) had gekaapt en twee backdoored versies (1.14.1 en 0.30.4) publiceerde binnen een venster van 39 minuten, een duidelijk teken van een vooraf geplande, gecoördineerde operatie.
Er werd geen broncode gewijzigd. In plaats daarvan werd een schadelijke afhankelijkheid (plain-crypto-js) stilletjes geïnjecteerd. Na installatie werd een cross-platform Remote Access Trojan ingezet die gericht was op Windows, macOS en Linux.
De aanval werd vooraf gepland over een periode van ~18 uur: een schone lokversie van plain-crypto-js@4.2.0 werd gepubliceerd op 30 maart om 05:57 UTC om registerhistorie op te bouwen en “nieuwe pakket”-scanners te omzeilen, voordat de kwaadaardige 4.2.1 werd gedropt om 23:59 UTC.
Het kwaadaardige venster liep van 00:21 UTC tot 03:29 UTC op 31 maart 2026:
- axios@1.14.1 live voor ~3u08 (00:21 tot 03:29 UTC)
- axios@0.30.4 live voor ~2u29 (01:00 tot 03:29 UTC)
a. Waar je naar moet zoeken (IoC’s)
- axios@1.14.1 of axios@0.30.4 in je lockfiles
- plain-crypto-js overal in node_modules
- Uitgaande verbindingen naar sfrclak[.]com / 142.11.206.73
- RAT artefacten: /Library/Caches/com.apple.act.mond (macOS), %PROGRAMDATA%\wt.exe (Windows), /tmp/ld.py (Linux)
b. Hoe te herstellen
- Downgrade naar axios@1.14.0 (1.x) of axios@0.30.3 (0.x)
- Verwijder plain-crypto-js uit node_modules
- C2-domein/IP blokkeren op firewall- en DNS-niveau
- Als er RAT-artefacten zijn gevonden: NIET opschonen, helemaal opnieuw opbouwen en ALLE referenties roteren (npm tokens, SSH-sleutels, cloud creds, CI/CD-geheimen)
Dit herinnert ons eraan dat een enkel gecompromitteerd beheerdersaccount, 18 uur van tevoren in scène gezet, met drie parallelle OS-specifieke payloads en ingebouwde anti-forensische zelfvernietiging, een vertrouwd pakket kan veranderen in een aanvalsvector die miljoenen omgevingen beïnvloedt.
Controleer je afhankelijkheden. Controleer je lockfiles. Blijf scherp.
2. Vorige week in overzicht: BlueHammer, RedSun, UnDefend. Drie Windows Defender zero-days. Allemaal actief uitgebuit.
a. Wat er werkelijk is gebeurd
In een tijdsbestek van 13 dagen in april heeft één enkele onderzoeker drie werkende exploits gedropt die gericht waren op Microsoft Defender. Geen gecoördineerde openbaarmaking. Geen melding aan Microsoft. Volledige proof-of-concept code, rechtstreeks naar GitHub.
De onderzoeker, bekend onder de naam“Chaotic Eclipse“, vertelde waarom: frustratie over de manier waarop Microsoft’s MSRC omging met hun rapporten. Of je het nu eens bent met de aanpak of niet, de code werkt. En aanvallers gingen snel.
Een van de drie is gepatcht. Twee staan vandaag nog open.
b. Wat we hebben waargenomen van de SOC-kant
Wat onze aandacht trok waren niet alleen de individuele bugs. Het was de architectuur erachter.
- BlueHammer escaleert privileges door misbruik te maken van de bestandsherstellogica van Defender.
- RedSlaateen andere weg in door bestandsverwerking in de cloud en bereikt ook SYSTEM.
- UnDefend escaleert niets. Het verhongert Defender gewoon stilletjes van handtekeningupdates totdat uw endpointbeveiliging blind draait.
Samen dekken ze de initiële escalatie, een alternatief escalatiepad als de eerste is gepatcht en stille persistentie. Dat is een complete post-exploitatie toolkit, niet drie ongerelateerde bugs.
c. Wat we in het wild zagen
- BlueHammer-exploitatie werd bevestigd in echte inbraken van 10 april.
- RedSun en UnDefend volgden op 16 april.
Het ingangspunt in de waargenomen gevallen waren gecompromitteerde SSL-VPN inloggegevens, waarbij aanvallers hernoemde exploit binaries in door de gebruiker te schrijven mappen zoals Afbeeldingen of Downloads plaatsten nadat ze de eerste toegang hadden verkregen.
Dit is hands-on-toetsenbordactiviteit. Niet automatisch scannen.
d. Wat nu te doen?
✅ Voer de ‘april 2026 Patch Tuesday’ update uit als je dat nog niet hebt gedaan. Het dekt BlueHammer (CVE-2026-33825).
Voor RedSun en UnDefend is er nog geen patch, dus je hebt gedragsdetectie.
En vertrouw niet alleen op statische handtekeningen omdat de PoC broncode openbaar is en triviaal om opnieuw te compileren.
Onze toewijding
We blijven volledig gemobiliseerd om onze klanten snel te detecteren en te waarschuwen wanneer abnormale activiteiten worden waargenomen. Als er een specifieke actie van hun kant nodig is, wordt er direct contact met hen opgenomen, met maar één doel voor ogen: hun Cybersereniteit behouden.