Een ontwikkelaar krijgt een LinkedIn-bericht van een recruiter. De rol ziet er legitiem uit. Voor de coderingsbeoordeling is het installeren van een pakket vereist. Dat pakket exfiltreert alle cloudreferenties van de machine van de ontwikkelaar – persoonlijke toegangstokens van GitHub, AWS API-sleutels, Azure-service-principals en meer – worden geëxfiltreerd en de tegenstander bevindt zich binnen enkele minuten in de cloudomgeving.
Uw e-mailbeveiliging heeft het nooit gezien. Mogelijk heeft uw afhankelijkheidsscanner het pakket gemarkeerd. Niemand keek naar wat er daarna gebeurde.
De aanvalsketen wordt snel bekend als de spil van identiteits- en toegangsbeheer (IAM), en vertegenwoordigt een fundamentele leemte in de manier waarop bedrijven op identiteit gebaseerde aanvallen monitoren. CrowdStrike Intelligence-onderzoek gepubliceerd op 29 januari documenteert hoe tegenstanders deze aanvalsketen op industriële schaal hebben geoperationaliseerd. Bedreigingsactoren verhullen de levering van getrojaniseerde Python- en npm-pakketten door middel van wervingsfraude, en schakelen vervolgens over van gestolen ontwikkelaarsreferenties naar volledige IAM-compromis in de cloud.
In één geval eind 2024 leverden aanvallers kwaadaardige Python-pakketten aan een Europees FinTech-bedrijf via lokmiddelen met een rekruteringsthema, schakelden ze over op cloud-IAM-configuraties en stuurden ze cryptocurrency om naar door de tegenstander gecontroleerde portemonnees.
De toegang tot de uitgang heeft nooit de zakelijke e-mailgateway bereikt, en er is geen digitaal bewijsmateriaal om verder te gaan.
Over een recente aflevering van CrowdStrike’s Tegenstander Universe-podcastAdam Meyers, de SVP van de inlichtingendienst van het bedrijf en hoofd van de Counter Adversary Operations, beschreef de omvang: Meer dan $2 miljard geassocieerd met cryptocurrency-operaties die worden uitgevoerd door één tegenstander. Gedecentraliseerde valuta, legde Meyers uit, is ideaal omdat aanvallers hierdoor tegelijkertijd sancties en detectie kunnen vermijden. CrowdStrike’s CTO van Amerika, Cristian Rodriguez, legde uit dat omzetsucces de specialisatie van de organisatie heeft gestimuleerd. Wat ooit een enkele dreigingsgroep was, is opgesplitst in drie afzonderlijke eenheden die zich richten op cryptocurrency-, fintech- en spionagedoelstellingen.
Die zaak stond niet op zichzelf. Het Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) en beveiligingsbedrijf JFrog hebben overlappende campagnes in het hele npm-ecosysteem gevolgd, waarbij JFrog 796 gecompromitteerde pakketten heeft geïdentificeerd in een zichzelf replicerende worm die zich verspreidt via geïnfecteerde afhankelijkheden. Het onderzoek documenteert verder WhatsApp-berichten als een primaire initiële compromisvector, waarbij kwaadwillenden kwaadaardige ZIP-bestanden met trojan-applicaties via het platform afleveren. Zakelijke e-mailbeveiliging onderschept dit kanaal nooit.
De meeste beveiligingsstacks zijn geoptimaliseerd voor een toegangspunt dat deze aanvallers volledig hebben verlaten.
Wanneer afhankelijkheidsscannen niet voldoende is
Tegenstanders verschuiven de toegangsvectoren in realtime. Getrojaniseerde pakketten komen niet meer via typosquatting binnen zoals in het verleden; ze worden handmatig afgeleverd via persoonlijke berichtenkanalen en sociale platforms waar zakelijke e-mailgateways niet bij betrokken zijn. CrowdStrike documenteerde tegenstanders die kunstaas met een werkgelegenheidsthema afstemden op specifieke sectoren en rollen, en observeerde de implementatie van gespecialiseerde malware bij FinTech-bedrijven in juni 2025.
CISA heeft dit op grote schaal gedocumenteerd in september een advies uitbrengen over een wijdverbreid NPM-supply chain-compromis gericht op persoonlijke toegangstokens van GitHub en AWS-, GCP- en Azure API-sleutels. Schadelijke code werd tijdens de installatie van het pakket op inloggegevens gescand en naar externe domeinen geëxfiltreerd.
Afhankelijkheidsscans vangen het pakket op. Dat is de eerste controle, en de meeste organisaties hebben die. Bijna geen enkele heeft de tweede, namelijk runtime-gedragsmonitoring die het exfiltreren van inloggegevens detecteert tijdens het installatieproces zelf.
“Als je deze aanval terugbrengt tot de essentie, dan valt niet een doorbraaktechniek op”, zegt Shane Barney, CISO bij Keeper Security, in een analyse van een recente cloudaanvalketen. “Het gaat om hoe weinig weerstand de omgeving bood zodra de aanvaller legitieme toegang kreeg.”
Tegenstanders worden steeds beter in het creëren van dodelijke, ongecontroleerde draaipunten
van Google Cloud Threat Horizons-rapport ontdekte dat zwakke of ontbrekende referenties verantwoordelijk waren voor 47,1% van de cloudincidenten in de eerste helft van 2025, terwijl verkeerde configuraties nog eens 29,4% toevoegden. Deze cijfers zijn stabiel gebleven gedurende opeenvolgende rapportageperioden. Dit is een chronische aandoening, geen opkomende bedreiging. Aanvallers met geldige inloggegevens hoeven niets te misbruiken. Ze loggen in.
Onderzoek eerder deze maand gepubliceerd heeft precies aangetoond hoe snel deze draaipunt wordt uitgevoerd. Kalmerend documenteerde een aanvalsketen waarbij gecompromitteerde inloggegevens binnen acht minuten de privileges van de cloudbeheerder bereikten, waarbij 19 IAM-rollen werden doorlopen voordat Amazon Bedrock AI-modellen werden opgesomd en het loggen van modelaanroepen werd uitgeschakeld.
Acht minuten. Geen malware. Geen exploit. Alleen een geldige referentie en de afwezigheid van IAM-gedragsbasislijnen.
Ram Varadarajan, CEO van Calvio, zeg het maar bot: De snelheid van inbreuken is verschoven van dagen naar minuten, en het verdedigen tegen deze klasse van aanvallen vereist technologie die met dezelfde snelheid kan redeneren en reageren als geautomatiseerde aanvallers.
Identity Threat Detection and Response (ITDR) pakt deze kloof aan door te monitoren hoe identiteiten zich gedragen in cloudomgevingen, en niet alleen of ze succesvol authenticeren. KuppingerCole’s Leiderschapskompas 2025 uit ITDR bleek dat het merendeel van de identiteitsinbreuken nu voortkomt uit gecompromitteerde niet-menselijke identiteiten, maar dat de adoptie van ITDR binnen bedrijven nog steeds ongelijkmatig is.
Morgan Adamski, PwC’s plaatsvervangend leider voor cyber-, data- en technologierisico’s, leg de inzet in operationele termen. Het goed krijgen van de identiteit, inclusief AI-agenten, betekent controleren wie wat kan doen op machinesnelheid. Brandbestrijdingswaarschuwingen van overal kunnen geen gelijke tred houden met multicloud-uitbreiding en identiteitsgerichte aanvallen.
Waarom AI-gateways dit niet stoppen
AI-gateways blinken uit in het valideren van authenticatie. Ze controleren of de identiteit die toegang vraagt tot een modeleindpunt of trainingspijplijn over het juiste token beschikt en bevoegdheden heeft voor het tijdsbestek dat is gedefinieerd door beheerders en governancebeleid. Ze controleren niet of die identiteit zich consistent gedraagt volgens het historische patroon of willekeurig door de infrastructuur heen onderzoekt.
Neem een ontwikkelaar die normaal gesproken twee keer per dag een query uitvoert op een model voor het aanvullen van code, waarbij hij plotseling elk Bedrock-model in het account opsomt en eerst het loggen uitschakelt. Een AI-gateway ziet een geldig token. ITDR constateert een anomalie.
A blogpost van CrowdStrike onderstreept waarom dit nu belangrijk is. De tegenstanders die het volgt, zijn geëvolueerd van opportunistische identiteitsdiefstal naar cloudbewuste inbraakoperatoren. Ze schakelen van gecompromitteerde ontwikkelaarswerkstations rechtstreeks over naar IAM-cloudconfiguraties, dezelfde configuraties die de toegang tot de AI-infrastructuur regelen. De gedeelde tools tussen verschillende eenheden en de gespecialiseerde malware voor cloudomgevingen geven aan dat dit niet experimenteel is. Het is geïndustrialiseerd.
Het CISO-kantoor van Google Cloud heeft dit rechtstreeks aangepakt in hun Cyberveiligheidsvoorspelling voor december 2025waarbij wordt opgemerkt dat besturen nu vragen stellen over de veerkracht van bedrijven tegen aanvallen op machinesnelheid. Het beheren van zowel menselijke als niet-menselijke identiteiten is essentieel om de risico’s van niet-deterministische systemen te beperken.
Er is geen luchtgat dat computer-IAM scheidt van de AI-infrastructuur. Wanneer de cloudidentiteit van een ontwikkelaar wordt gekaapt, kan de aanvaller modelgewichten, trainingsgegevens, inferentie-eindpunten en alle tools waarmee deze modellen verbinding maken, bereiken via protocollen zoals model context protocol (MCP).
Die MCP-verbinding is niet langer theoretisch. OpenClaw, een open-source autonome AI-agent die in één week 180.000 GitHub-sterren heeft overschreden, maakt verbinding met e-mail, berichtenplatforms, agenda’s en code-uitvoeringsomgevingen via MCP en directe integraties. Ontwikkelaars installeren het op bedrijfsmachines zonder een beveiligingsbeoordeling.
Het AI-beveiligingsonderzoeksteam van Cisco noemde de tool ‘baanbrekend’ vanuit het oogpunt van mogelijkheden en ‘een absolute nachtmerrie’ vanuit het oogpunt van beveiliging, die precies het soort agentische infrastructuur weerspiegelt dat een gekaapte cloud-identiteit zou kunnen bereiken.
De IAM-implicaties zijn direct. In een analyse gepubliceerd op 4 februariCrowdStrike CTO Elia Zaitsev waarschuwde dat “een succesvolle snelle injectie tegen een AI-agent niet alleen een datalekvector is. Het is een potentiële steunpilaar voor geautomatiseerde zijwaartse beweging, waarbij de gecompromitteerde agent de doelstellingen van de aanvaller blijft uitvoeren in de hele infrastructuur.”
De legitieme toegang van de agent tot API’s, databases en bedrijfssystemen wordt de toegang van de tegenstander. Deze aanvalsketen eindigt niet bij het modeleindpunt. Als er een agent achter zit, strekt de explosieradius zich uit tot alles wat de agent kan bereiken.
Waar de controlelacunes zitten
Deze aanvalsketen bestaat uit drie fasen, elk met een duidelijke controlekloof en een specifieke actie.
Toegang: Trojaanse pakketten die via WhatsApp, LinkedIn en andere niet-e-mailkanalen worden geleverd, omzeilen de e-mailbeveiliging volledig. CrowdStrike documenteerde kunstaas met een werkgelegenheidsthema, afgestemd op specifieke sectoren, met WhatsApp als primair leveringsmechanisme. De kloof: Afhankelijkheidsscans vangen het pakket op, maar niet de exfiltratie van de runtime-referenties. Voorgestelde actie: Implementeer runtime-gedragsmonitoring op ontwikkelaarswerkstations die toegangspatronen voor inloggegevens markeren tijdens de installatie van pakketten.
Scharnier: Gestolen inloggegevens zorgen ervoor dat IAM-rollen onzichtbaar zijn voor perimetergebaseerde beveiliging. In het gedocumenteerde Europese FinTech-geval van CrowdStrike stapten aanvallers rechtstreeks over van een gecompromitteerde ontwikkelaarsomgeving naar cloud-IAM-configuraties en bijbehorende bronnen. De kloof: Er bestaan geen gedragsbasislijnen voor het gebruik van cloudidentiteiten. Voorgestelde actie: Implementeer ITDR dat identiteitsgedrag in cloudomgevingen monitort en laterale bewegingspatronen signaleert, zoals de 19-rollen-traversal die is gedocumenteerd in het Sysdig-onderzoek.
Objectief: De AI-infrastructuur vertrouwt op de geverifieerde identiteit zonder de gedragsconsistentie te evalueren. De kloof: AI-gateways valideren tokens, maar geen gebruikspatronen. Voorgestelde actie: Implementeer AI-specifieke toegangscontroles die modeltoegangsverzoeken correleren met identiteitsgedragsprofielen, en logboekregistratie afdwingen die de toegang verkrijgende identiteit niet kan uitschakelen.
Jason Soroko, senior fellow bij Sectigo, de oorzaak geïdentificeerd: Kijk verder dan de nieuwigheid van AI-ondersteuning, en de alledaagse fout heeft dit mogelijk gemaakt. Geldige referenties worden weergegeven in openbare S3-buckets. Een koppige weigering om de basisprincipes van beveiliging onder de knie te krijgen.
Wat u de komende 30 dagen moet valideren
Controleer uw IAM-monitoringstack aan de hand van deze driefasige keten. Als u afhankelijkheidsscans uitvoert maar geen runtime-gedragsmonitoring, kunt u het kwaadaardige pakket onderscheppen, maar de diefstal van inloggegevens missen. Als u cloudidentiteiten verifieert maar hun gedrag niet in de basislijn plaatst, ziet u de laterale beweging niet. Als uw AI-gateway tokens controleert, maar geen gebruikspatronen, loopt een gekaapte inloggegevens rechtstreeks naar uw modellen.
De perimeter is niet meer waar dit gevecht plaatsvindt. Identiteit is.
