Nieuwe Cyberaanval treft populaire software: Wat betekent dit voor uw MKB?

Grote Kwetsbaarheid Ontdekt in Populaire Software

Recentelijk is een nieuwe, verontrustende cyberaanval aan het licht gekomen. Kwetsbaarheden zijn ontdekt in meerdere softwarepakketten die veel gebruikt worden door ontwikkelaars wereldwijd. Deze aanval spitst zich toe op de zogenaamde 'softwaretoeleveringsketen'.

Dit betekent dat kwaadwillenden zich toegang verschaffen tot code die al door anderen is geschreven en vervolgens wordt gebruikt in nieuwe software.

De aanval maakt gebruik van een methode die 'Mini Shai-Hulud' wordt genoemd. Hierbij worden populaire software ('packages') die beschikbaar zijn via het npm-netwerk geïnfecteerd. npm is een grote online bibliotheek van herbruikbare stukjes code die ontwikkelaars wereldwijd gebruiken om sneller en efficiënter te kunnen werken.

Door deze pakketten te infecteren, kunnen de aanvallers hun schadelijke software verspreiden naar iedereen die de betreffende pakketten gebruikt.

Concreet zijn er meerdere pakketten getroffen die gerelateerd zijn aan het @antv-ecosysteem. Dit is een verzameling van tools en bibliotheken voor datavisualisatie. Een voorbeeld van een getroffen pakket is 'echarts-for-react'.

Dit pakket wordt gebruikt om interactieve grafieken te maken in webapplicaties gebouwd met React, een veelgebruikt framework. Dit pakket wordt wekelijks door meer dan een miljoen ontwikkelaars gebruikt, wat aangeeft hoe wijdverspreid het probleem potentieel is.

De aanvallers hebben dit weten te bereiken door het account van een beheerder ('maintainer') van deze softwarepakketten te compromitteren. Een beheerder heeft de macht om code toe te voegen en te wijderen aan de pakketten. Wanneer zo'n account wordt gehackt, kunnen de aanvallers schadelijke code toevoegen zonder dat anderen dit direct merken.

De code lijkt dan legitiem en wordt zonder argwaan geïntegreerd in andere softwareprojecten.

Hoe Werkt Deze Aanval Preciezer?

Deze specifieke aanvalstechniek, 'Mini Shai-Hulud', is een voortzetting van eerder ontdekte aanvalsdragers. Het richt zich op het infiltreren van de ‘software supply chain’. Stel u voor dat de software die u gebruikt, is opgebouwd uit kleine, kant-en-klare bouwstenen.

Deze aanval probeert de productie van die bouwstenen te besmetten. Zodra een bouwsteen besmet is, zal elke toepassing die die steen gebruikt, ook indirect besmet raken.

De aanvallers hebben specifiek het account ‘atool’ op npm geïnfecteerd. Dit account beheert verschillende pakketten. Eén van de meest bekende is dus ‘echarts-for-react’.

Dit is in feite een 'wrapper', een stukje software dat het makkelijker maakt om een andere, krachtige grafische bibliotheek genaamd Apache ECharts te gebruiken binnen een React-applicatie. Het succes en de wijdverbreidheid van ‘echarts-for-react’ maken het een ideaal doelwit voor aanvallers die grote aantallen systemen willen bereiken.

De compromittering op het ‘atool’-account betekent dat de aanvallers controle kregen over nieuwe versies van deze pakketten. Ze konden dus kwaadaardige code injecteren in updates die vervolgens door andere ontwikkelaars werden gedownload. Deze code kon allerlei dingen doen, zoals het stelen van gegevens, het installeren van andere schadelijke software, of het openen van een achterdeur voor toekomstige aanvallen.

Het heimelijke karakter maakt deze aanval extra gevaarlijk, omdat de besmetting lang onopgemerkt kan blijven.

Doordat de aanval gericht is op open-source software die breed wordt ingezet, heeft dit potentieel vergaande gevolgen. Het is niet zozeer één specifieke software aanbieder die getroffen is, maar een fundamenteel onderdeel van de manier waarop moderne software wordt gebouwd. Veiligheidsexperts waarschuwen dat dit soort aanvallen de trend van steeds meer onderlinge afhankelijkheid van softwarecomponenten uitbuit.

Juist de efficiëntie van deze methode maakt het aantrekkelijk voor cybercriminelen.

Wat Betekent Dit voor MKB Bedrijven?

Voor het Midden- en Kleinbedrijf (MKB) kunnen de implicaties van dit soort aanvallen aanzienlijk zijn, ook al gebruikt u de specifieke getroffen pakketten mogelijk niet direct. Ten eerste, als uw IT-afdeling of een ingeschakelde externe partij gebruik maakt van de nu gecompromitteerde @antv-pakketten, loopt u direct risico. Dit kan leiden tot datalekken, verstoring van uw bedrijfsprocessen, of zelfs ransomware-aanvallen als de geïnjecteerde code hierin voorziet.

Maar ook als u de specifieke pakketten niet gebruikt, is er een indirect gevaar. Veel MKB-bedrijven maken gebruik van software die door grotere bedrijven wordt ontwikkeld. Deze grotere bedrijven gebruiken op hun beurt weer open-source componenten zoals die van npm.

Als een belangrijke component in de toeleveringsketen een kwetsbaarheid heeft, kan dit uiteindelijk doorsijpelen naar de softwareproducten die het MKB dagelijks gebruikt. Het is dus cruciaal om te weten welke software u gebruikt en welke onderliggende componenten daarin verwerkt zijn.

Daarnaast onderstreept dit incident het belang van een robuust cybersecuritybeleid. Voor het MKB betekent dit concreet:

• Houd software up-to-date: Zorg ervoor dat alle gebruikte software, inclusief besturingssystemen, applicaties en ontwikkeltools, regelmatig wordt bijgewerkt. Updates bevatten vaak cruciale beveiligingspatches.
• Wees kritisch op externe bronnen: Wees voorzichtig met het implementeren van nieuwe softwarecomponenten, vooral die uit onbekende of minder vertrouwde bronnen. Controleer de reputatie en het onderhoud van de componenten die uw IT-leveranciers gebruiken.
• Implementeer beveiligingsmaatregelen: Denk aan firewalls, antivirussoftware, en toegangsbeheer. Regelmatige back-ups zijn essentieel om te kunnen herstellen na een incident.
• Train medewerkers: Het bewustzijn van medewerkers over phishing en andere sociale engineering-technieken is een belangrijke verdedigingslinie. Een gecompromitteerd account van een medewerker kan ook een toegangspoort zijn.
• Vraag uw IT-leverancier: Informeer bij uw IT-leverancier of zij bekend zijn met de recente kwetsbaarheden en welke maatregelen zij nemen om uw systemen te beschermen. Transparantie is hierbij key.

Conclusie

De ontdekking van de Mini Shai-Hulud aanval op npm-pakketten zoals echarts-for-react is een nieuw signaal dat de digitale wereld steeds complexer en kwetsbaarder wordt. De softwaretoeleveringsketen is een belangrijk aanvalsvector geworden. Voor MKB-bedrijven is het nu belangrijker dan ooit om proactief te zijn in hun cybersecurity.

Door op de hoogte te blijven, software up-to-date te houden, en te investeren in basisbeveiliging, kan de weerbaarheid van uw organisatie aanzienlijk worden vergroot. Schroom niet om hulp in te schakelen van cybersecurity-experts om uw systemen te beoordelen en te versterken.

**Meer weten? ** Bekijk ook hoe Assist2go kan helpen met de passende IT-dienst voor uw bedrijf.