De ontwikkelaar krijgt een LinkedIn-bericht van de recruiter. De rol ziet er legitiem uit. Voor codeerbeoordeling is installatie van het pakket vereist. Het pakket haalt alle cloudreferenties uit de machine van een ontwikkelaar (persoonlijke toegangstokens van GitHub, AWS API-sleutels, Azure-service-principals en meer) en de tegenstander bevindt zich binnen enkele minuten in de cloudomgeving.
Uw e-mailbeveiliging ziet het nooit. Mogelijk heeft uw afhankelijkheidsscanner het pakket gemarkeerd. Niemand zag wat er daarna gebeurde.
Deze aanvalsketen werd al snel bekend als de spil van identiteits- en toegangsbeheer (IAM) en vertegenwoordigt een fundamentele leemte in de manier waarop bedrijven op identiteit gebaseerde aanvallen monitoren. CrowdStrike Intelligence-onderzoek gepubliceerd op 29 januari documenteert hoe vijandige groepen deze aanvalsketens op industriële schaal operationeel maken. De bedreigingsacteur verborg de levering van getrojaniseerde Python- en npm-pakketten via een wervingsfraude en stapte vervolgens over van gestolen ontwikkelaarsreferenties naar een volledige IAM-cloudcompromis.
In één geval eind 2024 stuurde een aanvaller een kwaadaardig Python-pakket naar een Europees FinTech-bedrijf via een lokaas met rekruteringsthema, omzeilde IAM-cloudconfiguraties en stuurde cryptocurrency om naar een door de tegenstander beheerde portemonnee.
De inkomende en uitgaande processen raken nooit de e-mailgateway van het bedrijf en er is geen bruikbaar digitaal bewijsmateriaal.
In de nieuwste aflevering van CrowdStrike Vijand van het heelal PodcastAdam Meyers, SVP van corporate intelligence en hoofd van de Counter Adversarial Operations, beschreef de omvang: Meer dan 2 miljard dollar was gekoppeld aan cryptocurrency-operaties die door één vijandige eenheid werden uitgevoerd. Gedecentraliseerde valuta, legt Meyers uit, zijn ideaal omdat aanvallers tegelijkertijd sancties en detectie kunnen vermijden. CrowdStrike’s CTO in Amerika, Cristian Rodriguez, legt uit dat omzetsucces de specialisatie van de organisatie heeft gedreven. Wat ooit een enkele dreigingsgroep was, is opgesplitst in drie afzonderlijke eenheden die zich richten op cryptocurrency-, fintech- en spionagedoeleinden.
De zaak staat niet op zichzelf. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) en beveiligingsbedrijven JFrog heeft overlappende campagnes in het npm-ecosysteem gevolgd, waarbij JFrog 796 gecompromitteerde pakketten heeft geïdentificeerd in een worm die zichzelf repliceert en zich verspreidt via geïnfecteerde afhankelijkheden. Het onderzoek documenteert verder WhatsApp-berichten als een primaire initiële compromisvector, waarbij kwaadwillenden kwaadaardige ZIP-bestanden met getrojaniseerde applicaties via het platform verzenden. Zakelijke e-mailbeveiliging blokkeert dit kanaal nooit.
De meeste beveiligingsstacks zijn geoptimaliseerd voor toegangspunten die deze aanvallers volledig verlaten.
Wanneer afhankelijkheidsscannen niet voldoende is
De tegenstander verschuift de ingangsvector in realtime. Getrojaniseerde pakketten komen niet via typefouten binnen zoals in het verleden; ze worden rechtstreeks verzonden via privéberichtenkanalen en sociale platforms die niet worden beïnvloed door zakelijke e-mailgateways. CrowdStrike documenteerde tegenstanders die de aantrekkingskracht van werkgelegenheidsthema’s op specifieke sectoren en rollen afstemden, en observeerde in juni 2025 de verspreiding van op maat gemaakte malware onder FinTech-bedrijven.
CISA documenteert dit op grote schaal heeft in september een waarschuwing uitgegeven over een wijdverbreide npm-supply chain-compromis gericht op GitHub-privétoegangstokens en AWS-, GCP- en Azure API-sleutels. Schadelijke code wordt tijdens de installatie van het pakket op inloggegevens gescand en naar externe domeinen geëxfiltreerd.
Afhankelijkheidsscans vangen het pakket op. Dat is de eerste controle, en de meeste organisaties hebben die. Bijna niemand beschikt over de tweede optie, namelijk runtime-gedragsmonitoring die het exfiltreren van inloggegevens detecteert tijdens het installatieproces zelf.
“Als je deze aanval tot de basis terugbrengt, valt niet de baanbrekende techniek echt op”, zegt Shane Barney, CISO bij Keeper Security, in een verklaring. ketenanalyse van recente cloudaanvallen. “Zo weinig weerstand biedt de omgeving als een aanvaller legitieme toegang krijgt.”
De vijand wordt steeds bedrevener in het creëren van dodelijke, onopgemerkte schachten
GoogleCloud Bedreigingshorizonrapport ontdekte dat zwakke of niet-bestaande inloggegevens verantwoordelijk waren voor 47,1% van de cloudincidenten in de eerste helft van 2025, terwijl configuratiefouten verantwoordelijk waren voor 29,4%. Deze cijfers zijn gedurende opeenvolgende verslagperiodes stabiel gebleven. Dit is een chronische aandoening, geen opkomende bedreiging. Een aanvaller met geldige inloggegevens hoeft niets te misbruiken. Ze komen binnen.
Het onderzoek werd eerder deze maand gepubliceerd laat precies zien hoe snel deze draai wordt uitgevoerd. Kalmerend documenteerde een aanvalsketen waarbij gecompromitteerde inloggegevens binnen acht minuten de privileges van de cloudbeheerder bereikten, waarbij 19 IAM-rollen werden doorlopen voordat een Amazon Bedrock AI-model werd berekend en het loggen van modelaanroepen werd uitgeschakeld.
Acht minuten. Geen malware. Geen exploits. Alleen geldige inloggegevens en geen IAM-gedragsbasislijn.
Ram Varadarajan, CEO van Calvio, eerlijk gezegd: De snelheid van inbreuken is veranderd van dagen in minuten, en de verdediging tegen dit soort aanvallen vereist technologie die met dezelfde snelheid kan denken en reageren als geautomatiseerde aanvallers.
Identity Threat Detection and Response (ITDR) pakt deze kloof aan door te monitoren hoe identiteiten zich gedragen binnen een cloudomgeving, en niet alleen of ze met succes zijn geverifieerd. KuppingerCole Leiderschapskompas 2025 met betrekking tot ITDR bleek dat het merendeel van de identiteitsinbreuken tegenwoordig voortkomt uit gecompromitteerde niet-menselijke identiteiten, maar de implementatie van ITDR in ondernemingen is nog steeds ongelijkmatig.
Morgan Adamski, PwC’s plaatsvervangend leider voor cyberrisico’s, data en technologie, in operationele termen zijn weddenschappen plaatst. Het correct krijgen van identiteiten, inclusief AI-agenten, betekent bepalen wie wat kan doen op machinesnelheid. Brandbestrijdingswaarschuwingen van waar dan ook zullen multicloud- en identiteitsgerichte aanvallen niet kunnen bijhouden.
Waarom stopt een AI-gateway dit niet?
AI-gateways blinken uit in het valideren van authenticatie. Ze controleren of de identiteit die toegang vraagt tot het modeleindpunt of de trainingspijplijn het juiste token heeft en bevoegd is voor de periode die is opgegeven door het beheerders- en governancebeleid. Ze controleren niet of de identiteit zich consistent gedraagt met zijn historische patronen en onderzoeken ook niet willekeurig de infrastructuur.
Laten we zeggen dat een ontwikkelaar die normaal gesproken tweemaal per dag modellen voor het voltooien van code bevraagt, plotseling elk Bedrock-model in zijn account opsomt en eerst het loggen uitschakelt. De AI-gateway ziet een geldig token. ITDR heeft een anomalie opgemerkt.
A blogpost van CrowdStrike onderstreept waarom dit nu belangrijk is. De tegenstanders die het volgt, zijn geëvolueerd van opportunistische inloggegevensstelers tot cloudbewuste inbraakoperatoren. Ze gingen van een gecompromitteerd ontwikkelaarswerkstation rechtstreeks naar een IAM-cloudconfiguratie, dezelfde configuratie die de toegang tot de AI-infrastructuur regelt. Gedeelde apparatuur tussen eenheden en malware die specifiek is voor cloudomgevingen suggereren dat dit niet experimenteel is. Het is industrialisatie.
Het CISO-kantoor van Google Cloud heeft dit rechtstreeks in hun kantoor aangepakt Cyberveiligheidsvoorspelling in december 2025gezien het feit dat het bestuur nu vraagtekens zet bij de veerkracht van het bedrijf tegen machinesnelheidsaanvallen. Het beheren van menselijke en niet-menselijke identiteiten is van cruciaal belang om de risico’s van niet-deterministische systemen te beperken.
Er is geen luchtgat dat IAM-computing scheidt van de AI-infrastructuur. Wanneer de cloudidentiteit van een ontwikkelaar wordt gekaapt, kunnen aanvallers modelgewichten, trainingsgegevens, inferentie-eindpunten en alle tools die met het model zijn verbonden, bereiken via protocollen zoals model context protocol (MCP).
MCP-verbindingen zijn niet langer theoretisch. OpenClaw, een open source autonome AI-agent die in één week de 180.000 GitHub-sterren heeft overschreden, maakt verbinding met e-mail, berichtenplatforms, agenda’s en code-uitvoeringsomgevingen via MCP en directe integratie. Ontwikkelaars installeerden het op bedrijfsmachines zonder beveiligingscontrole.
Cisco’s AI-beveiligingsonderzoeksteam noemt de tool een “doorbraak” vanuit het oogpunt van mogelijkheden en ‘een nachtmerrie’ vanuit het oogpunt van beveiliging, die het type agentinfrastructuur weerspiegelt dat een gekaapte cloudidentiteit kan bereiken.
De gevolgen van IAM zijn onmiddellijk. In de analyse gepubliceerd op 4 februariCrowdStrike CTO Elia Zaitsev waarschuwde dat “een succesvolle snelle injectie van een AI-agent niet alleen een datalekvector is. Het is een potentiële springplank voor geautomatiseerde zijwaartse beweging, waarbij de gecompromitteerde agent de doelstellingen van de aanvaller over de hele infrastructuur blijft uitvoeren.”
De legitieme toegang van agenten tot API’s, databases en bedrijfssystemen wordt toegang van tegenstanders. Deze reeks aanvallen eindigt niet bij het eindpunt van het model. Als het gereedschap van de agent zich erachter bevindt, breidt de explosieradius zich uit naar alles binnen het bereik van de agent.
Waar ligt de controlekloof
Deze aanvalsketen is onderverdeeld in drie fasen, elk met verschillende controlelacunes en specifieke acties.
Ingang: Trojan-pakketten die via WhatsApp, LinkedIn en andere niet-e-mailkanalen worden verzonden, omzeilen de e-mailbeveiliging volledig. CrowdStrike documenteert feedback met een werkgelegenheidsthema, afgestemd op specifieke sectoren, met WhatsApp als het primaire leveringsmechanisme. Hiaten: Afhankelijkheidsscans vangen pakketten op, maar exfiltratie van runtime-referenties niet. Aanbevolen actie: Implementeer runtime-gedragsmonitoring op ontwikkelaarswerkstations die toegangspatronen voor inloggegevens markeren tijdens de installatie van pakketten.
Schacht: Gestolen inloggegevens zorgen ervoor dat de rolaanname van IAM onzichtbaar is voor perimetergebaseerde beveiliging. In het Europese FinTech-geval dat CrowdStrike documenteerde, verhuisde de aanvaller rechtstreeks van de gecompromitteerde ontwikkelaarsomgeving naar de IAM-cloudconfiguratie en gerelateerde bronnen. Hiaten: Er is geen gedragsmatige basis voor het gebruik van cloudidentiteiten. Aanbevolen actie: Implementeer ITDR dat identiteitsgedrag in cloudomgevingen monitort, waarbij laterale bewegingspatronen worden gemarkeerd, zoals het doorlopen van 19 rollen, gedocumenteerd in Sysdig-onderzoek.
Objectief: De AI-infrastructuur vertrouwt op geverifieerde identiteiten zonder gedragsconsistentie te evalueren. Hiaten: De AI-gateway valideert tokens, maar valideert geen gebruikspatronen. Aanbevolen actie: Implementeer AI-specifieke toegangscontroles die modeltoegangsaanvragen correleren met identiteitsgedragsprofielen, en logboekregistratie implementeren die niet kan worden uitgeschakeld door de toegang verkrijgende identiteit.
Jason Soroko, senior medewerker bij Deel, identificeer de oorzaak van het probleem: Laten we de nieuwigheid van AI-ondersteuning niet vergeten, en dat het vaak gemaakte fouten zijn die dit mogelijk maken. Geldige referenties worden weergegeven in een openbare S3-bucket. Koppige weigering om de basisprincipes van beveiliging onder de knie te krijgen.
Wat u de komende 30 dagen moet valideren
Controleer uw IAM-monitoringstack aan de hand van deze driefasige keten. Als u afhankelijkheidsscans uitvoert maar geen runtime-gedragsmonitoring, kunt u kwaadaardige pakketten onderscheppen, maar loopt u de diefstal van inloggegevens mis. Als u cloudidentiteiten verifieert maar hun gedrag er niet op baseert, ziet u geen zijdelingse beweging. Als uw AI-gateway tokens controleert, maar geen gebruikspatronen, gaan gekaapte inloggegevens rechtstreeks naar uw model.
De perimeter is niet langer waar dit gevecht plaatsvindt. Identiteit is.
