terug

Aanvallen op Techniek

Niet alleen mensen zijn het doelwit. Aanvallers gaan ook rechtstreeks naar je apparaat, je netwerk of de software die je gebruikt. Dit zijn de meest voorkomende technische aanvallen — uitgelegd zonder vakjargon, met een concrete tip bij elk.

A Malware: kwaadaardige software

A.1 Computervirus

Verbergt zich in een bestaand bestand en verspreidt zich automatisch naar andere bestanden zodra je het opent. De langzaamste van de malware-familie, maar was jarenlang dominant. Vandaag zelden op zichzelf — vaker een onderdeel van complexere aanvallen.

  • Analogie: Een griepvirus dat zichzelf kopieert via elk document dat je aanraakt.
  • Wat kun jij doen: Houd je antivirussoftware actueel en open geen bijlagen van onbekenden.

A.2 Worm

Verspreidt zich zónder dat je iets opent — het gaat vanzelf van apparaat naar apparaat via netwerken. Eén geïnfecteerde computer kan binnen minuten een volledig bedrijfsnetwerk platleggen.

  • Analogie: Een brief die zichzelf kopieert en naar alle adressen in je adresboek stuurt.
  • Wat kun jij doen: Zorg dat je router en netwerkapparaten up-to-date zijn. Houd je thuisnetwerk gescheiden van je werknetwerk.

A.3 Trojaans paard

Doet zich voor als nuttige software — een gratis app, een crack, een "update" — maar installeert stiekem een achterdeur. De crimineel kan daarna wanneer hij wil op afstand meegluren, bestanden stelen of meer malware installeren.

  • Analogie: Het houten paard vol soldaten dat Troje werd binnengebracht.
  • Wat kun jij doen: Download software alleen van officiële bronnen. Gratis cracks zijn vrijwel altijd besmet.

A.4 Ransomware

Versleutelt al je bestanden zodat je er niet meer bij kunt. Daarna eist de crimineel losgeld — tegenwoordig vaak gecombineerd met de dreiging om gestolen data te publiceren (dubbele afpersing).

  • Cijfer: Het aantal ransomware-aanvallen steeg in 2025 met 275% t.o.v. 2024 (Microsoft). Gemiddelde eis bij Nederlandse bedrijven: €1,8 miljoen.
  • Analogie: Iemand verandert alle sloten in je huis en eist betaling voor de nieuwe sleutel.
  • Wat kun jij doen: Maak regelmatig een offline back-up. Betalen geeft geen garantie op herstel.

A.5 Infostealer

Zit stil op je apparaat en steelt onzichtbaar wachtwoorden, creditcardnummers, crypto-wallets en browsercookies. Stelt de crimineel in staat om later in te loggen als jij, zonder dat je het merkt.

  • Cijfer: Lumma Stealer was in 2025 de meest verspreide variant — gebruikt door honderden criminele groepen.
  • Analogie: Een stille inbreker die alleen je sleutels, bankpas en toegangscodes kopieert en weer vertrekt.
  • Wat kun jij doen: Gebruik een wachtwoordmanager en tweestapsverificatie. Sla wachtwoorden niet op in je browser.

A.6 Spyware & stalkerware

Spyware registreert alles wat je doet: toetsaanslagen, screenshots, microfoon, camera. Stalkerware is dezelfde technologie, maar gericht ingezet door een (ex-)partner op een slachtoffer — sterk gelinkt aan huiselijk geweld.

  • Analogie: Een verborgen camera en microfoon in elke kamer van je huis.
  • Wat kun jij doen: Blijft je telefoon warm, loopt de accu snel leeg of weet je partner dingen die je niet verteld hebt? Laat je apparaat controleren.

A.7 Wiper malware

Heeft één doel: alles vernietigen. Geen losgeld, geen terugweg — alle bestanden worden permanent gewist. Wordt gebruikt door staten en hacktivisten om maximale schade aan te richten.

  • Voorbeelden: NotPetya (2017, ~€10 mrd schade), HermeticWiper (Oekraïne 2022).
  • Analogie: Een brand die het hele pand verwoest — geen herstel mogelijk.
  • Wat kun jij doen: Voor organisaties: offline back-ups op een geïsoleerd systeem zijn de enige echte bescherming.

A.8 Fileless malware (Living-off-the-Land)

Installeert helemaal niets op je harde schijf. Verbergt zich in het geheugen van programma's die al op je computer staan — zoals PowerShell of Windows-systeemtools. Traditionele antivirus ziet hem niet.

  • Cijfer: Verantwoordelijk voor 70% van alle ernstige malware-incidenten in 2026 (deepstrike.io).
  • Analogie: Een inbreker die jouw eigen sleutels gebruikt en niets meeneemt wat opvalt.
  • Wat kun jij doen: Gebruik geavanceerde beveiliging met gedragsanalyse (EDR), niet alleen een traditioneel antivirusprogramma.
B Netwerkaanvallen

B.1 Man-in-the-Middle (MitM)

De aanvaller plaatst zich onzichtbaar tussen jou en de website of persoon met wie je communiceert. Alles wat je typt, ziet hij ook — wachtwoorden, berichten, betaalgegevens.

  • Analogie: Een postbode die al je brieven openmaakt, leest, kopieert en daarna gewoon bezorgt.
  • Wat kun jij doen: Gebruik altijd HTTPS-sites (slotje in de browser). Vermijd gevoelige acties op openbaar wifi.

B.2 Evil Twin wifi

De crimineel zet een nep-wifi-hotspot op met een naam die lijkt op een betrouwbaar netwerk ("Free_Airport_WiFi"). Zodra je verbindt, ziet hij al je onversleutelde verkeer. Nep-inlogpagina's kunnen ook je wachtwoorden afvangen.

  • Analogie: Een nep-loket naast het echte loket op het station — ziet er hetzelfde uit, maar je geld gaat de verkeerde kant op.
  • Wat kun jij doen: Gebruik je mobiele data of een VPN op openbaar wifi. Laat je apparaat niet automatisch verbinden.

B.3 DNS-vergiftiging

Je browser vraagt het internet: "Wat is het adres van mijn bank?" Normaal krijg je het juiste antwoord. Bij DNS-vergiftiging krijg je een nep-adres terug — je belandt op een kopie van de bankwebsite terwijl de URL er perfect uitziet.

  • Analogie: Een straatnaambordje dat is omgedraaid — je loopt braaf de verkeerde richting op.
  • Wat kun jij doen: Gebruik beveiligde DNS (bijv. 1.1.1.1 of 8.8.8.8) en controleer bij twijfel het slotje/certificaat.

B.4 ARP-vergiftiging

Binnen een lokaal netwerk (thuis, kantoor) stuurt de aanvaller nep-berichten die zeggen: "Ik ben de router." Al het verkeer van jouw apparaat gaat daarna via hem. Klassieke opstap naar man-in-the-middle-aanvallen.

  • Analogie: Iemand op kantoor die zegt "alle post voor jullie mogen jullie bij mij inleveren" — en je gelooft hem.
  • Wat kun jij doen: Thuis: gebruik WPA3-beveiliging. Zakelijk: vraag je IT-afdeling naar Dynamic ARP Inspection.

B.5 BGP-hijacking

BGP is het systeem dat bepaalt hoe internetverkeer wereldwijd wordt gerouteerd. Bij BGP-hijacking kondigt een aanvaller vals aan dat een blok IP-adressen via hem loopt — waardoor verkeer voor miljoenen gebruikers tijdelijk wordt omgeleid. Voor spionage, cryptodiefstal en verstoring.

  • Analogie: Iemand die de bewegwijzering op alle snelwegen tegelijk omzet, zodat alle vrachtwagens via zijn magazijn rijden.
  • Wat kun jij doen: Voor eindgebruikers moeilijk te voorkomen — kies providers die RPKI-beveiliging ondersteunen.

B.6 Packet sniffing

Software of hardware luistert mee op een netwerk en vangt alle onversleutelde datapakketjes op. Op openbaar wifi kun je zo wachtwoorden, e-mails en sessies van anderen onderscheppen.

  • Analogie: Met een glas tegen de muur luisteren naar gesprekken in de kamer ernaast.
  • Wat kun jij doen: Zorg dat alle gevoelige communicatie versleuteld is (HTTPS, VPN). Onversleuteld verkeer is een open boek.
C Toegangs- & wachtwoordaanvallen

C.1 Brute force

De aanvaller probeert automatisch alle mogelijke wachtwoordcombinaties tot het raak is. Een computer doet duizenden pogingen per seconde. Korte, eenvoudige wachtwoorden zijn in minuten gekraakt.

  • Analogie: Alle codes 0000–9999 proberen op een kluisje.
  • Wat kun jij doen: Gebruik wachtwoorden van minimaal 14 tekens. Zet automatische vergrendeling na te veel pogingen aan.

C.2 Dictionary attack

Niet alle combinaties, maar een lijst van veelgebruikte wachtwoorden: "welkom01", "Zomer2024!", "123456", namen van huisdieren.

  • Cijfer: 80% van alle succesvolle aanvallen maakt gebruik van zwakke of hergebruikte wachtwoorden.
  • Analogie: Niet alle sleutels van de wereld proberen, maar de 1000 meest gemaakte sleutels.
  • Wat kun jij doen: Laat een wachtwoordmanager willekeurige wachtwoorden genereren. Gebruik nooit hetzelfde wachtwoord op twee plaatsen.

C.3 Credential stuffing

Er zijn miljarden gelekte gebruikersnaam/wachtwoord-combinaties beschikbaar op het darkweb. Aanvallers proberen die automatisch op honderden andere diensten. Gebruik je je forumwachtwoord ook voor je bank? Dan hebben ze al toegang.

  • Analogie: Een kopie van je fietssleutel gebruiken om ook je voordeur te proberen.
  • Wat kun jij doen: Zet tweestapsverificatie aan op alle belangrijke accounts. Check haveibeenpwned.com of politie.nl/checkjehack.

C.4 Pass-the-Hash

Windows slaat wachtwoorden niet als leesbare tekst op, maar als een versleutelde "hash". Bij pass-the-hash steelt een aanvaller die hash en gebruikt hem direct — zonder het echte wachtwoord te kennen. Populair bij aanvallen op bedrijfsnetwerken.

  • Analogie: Niet het slot kraken, maar een kopie van het sleutelpatroon stelen en direct gebruiken.
  • Wat kun jij doen: Voor bedrijven: gebruik Privileged Access Workstations en Windows Credential Guard.

C.5 Token-diefstal (Kerberoasting)

In bedrijfsnetwerken (Active Directory) kunnen aanvallers authenticatietokens stelen zonder wachtwoord — en die gebruiken om toegang te krijgen tot andere systemen in hetzelfde netwerk. Favoriete techniek van ransomware-aanvallers na de eerste toegang.

  • Analogie: Eenmaal binnen in een gebouw de badge van een collega kopiëren en alle deuren openen.
  • Wat kun jij doen: Schakel meervoudige verificatie in voor alle bedrijfsaccounts. Beperk beheerdersrechten.
D Webapplicatie-aanvallen

D.1 SQL-injectie

Een website slaat gegevens op in een database. Via een invulveld (zoekbalk, inlogformulier) stuurt een aanvaller kwaadaardige database-opdrachten mee. Filtert de website die niet, dan kan hij alle klantgegevens stelen, wachtwoorden uitlezen of de database wissen.

  • Cijfer: OWASP Top 10:2025, #5 meest voorkomend.
  • Analogie: In een bibliotheek een briefje in de catalogusbak stoppen: "Verwijder alle boeken en geef mij de ledenlijst."
  • Wat kun jij doen: Als beheerder: gebruik prepared statements. Als gebruiker: meld vreemde foutmeldingen op sites die je gegevens bewaren.

D.2 Cross-Site Scripting (XSS)

De aanvaller plaatst kwaadaardige code op een betrouwbare website (bijv. in een reactieveld). Zodra jij die pagina bezoekt, draait die code in jóuw browser — en kan hij je sessie stelen, je omleiden of je toetsaanslagen opslaan.

  • Cijfer: OWASP Top 10:2025: meer dan 30.000 bekende varianten.
  • Analogie: Een valse notitie op het prikbord van je vertrouwde bibliotheek: "Vul hier je wachtwoord opnieuw in."
  • Wat kun jij doen: Als gebruiker: houd je browser en extensies bijgewerkt. Als bouwer: filter alle gebruikersinvoer.

D.3 Cross-Site Request Forgery (CSRF)

Je bent ingelogd op je bank. Daarna bezoek je een andere website — die in de achtergrond stilletjes een verzoek naar je bank stuurt namens jou: "Maak €500 over." Je bank denkt dat jij het bent, want jouw cookie gaat mee.

  • Analogie: Iemand legt een formulier bij de koffieautomaat dat automatisch jouw bankpas gebruikt.
  • Wat kun jij doen: Log uit bij financiële diensten als je klaar bent. Banken beschermen hier al grotendeels tegen.

D.4 Broken Access Control

Nummer 1 op de OWASP Top 10:2025. Een website of app geeft je toegang tot dingen die je niet zou mogen zien — andermans bestanden, adminpanelen, gevoelige data — simpelweg door het webadres aan te passen. Soms verander je alleen "?user=123" in "?user=124" om andermans profiel te zien.

  • Analogie: Een hotelsleutel die alle kamers opent, niet alleen die van jou.
  • Wat kun jij doen: Als gebruiker: meld het als je per ongeluk andermans gegevens ziet. Als bouwer: controleer altijd aan de serverkant wie iets mag zien.

D.5 API-misbruik

Moderne apps communiceren via API's — onzichtbare verbindingen die data uitwisselen. Zijn die slecht beveiligd, dan kan een aanvaller rechtstreeks data opvragen, accounts overnemen of functies misbruiken zonder de normale app-interface.

  • Cijfer: API-aanvallen namen in 2025 met 47% toe.
  • Analogie: Het restaurant heeft een mooie voordeur met bewaker, maar de keukeningang staat wagenwijd open.
  • Wat kun jij doen: Controleer welke apps je aan andere diensten koppelt en trek onnodige koppelingen in.
E Software- & systeemkwetsbaarheden

E.1 Zero-day exploitatie

Een beveiligingsgat dat de fabrikant nog niet kent — en waarvoor dus nog geen reparatie (patch) bestaat. Aanvallers, vaak statelijke actoren of professionele criminelen, gebruiken dit lek tot het ontdekt wordt.

  • Cijfer: Het gemiddelde slachtoffer merkt een zero-day-aanval pas na 197 dagen.
  • Analogie: Een geheime achterdeur die alleen de inbreker kent — de eigenaar weet niet dat die bestaat.
  • Wat kun jij doen: Zorg dat andere beveiligingslagen op orde zijn: sterke wachtwoorden, MFA, netwerksegmentatie.

E.2 Ongepatchte software

De maker heeft een beveiligingsupdate uitgebracht, maar jij (of je IT-beheerder) heeft hem nog niet geïnstalleerd. Het lek is dan publiek bekend — en aanvallers weten dat ook.

  • Cijfer: 60% van alle datalekken in 2025 had een bekende kwetsbaarheid als oorzaak waarvoor al een patch beschikbaar was (Verizon DBIR 2025).
  • Analogie: De slotenmaker zegt "vervang dit kapotte slot" — maar je doet het niet, en de inbreker weet dat.
  • Wat kun jij doen: Zet automatische updates aan. Dit is de eenvoudigste en effectiefste beveiliging die er is.

E.3 Supply chain aanval

In plaats van een goed beveiligd bedrijf direct aan te vallen, richt de crimineel zich op een softwareleverancier of dienstverlener van dat bedrijf. Via een besmette update bereikt de malware tientallen of honderden klanten tegelijk.

  • Voorbeelden: SolarWinds (2020), MOVEit (2023) — samen miljoenen slachtoffers.
  • Analogie: Niet het restaurant binnendringen, maar de broodleverancier vergiftigen — zo bereik je alle restaurants tegelijk.
  • Wat kun jij doen: Vraag leveranciers naar hun beveiligingscertificaten. Controleer welke software directe netwerktoegang heeft.

E.4 Living-off-the-Land (LOLBins)

Aanvallers gebruiken software die al op jouw computer staat — PowerShell, Windows Script Host, mshta.exe — om aanvallen uit te voeren. Er wordt niets nieuws geïnstalleerd, dus antivirus ziet niets verdachts.

  • Cijfer: Betrokken bij 86% van alle kritieke beveiligingsincidenten in 2025 (deepstrike.io).
  • Analogie: Een inbreker die alleen jouw eigen gereedschap gebruikt om je huis open te breken.
  • Wat kun jij doen: Beperk in bedrijfsomgevingen wie PowerShell mag uitvoeren. Gebruik gedragsgebaseerde beveiliging (EDR).
F Infrastructuur- & schaalaanvallen

F.1 DDoS-aanval

Een enorme hoeveelheid verkeer van duizenden apparaten tegelijk overspoelt een server — die crasht of onbereikbaar wordt. Ingezet door hacktivisten, afpersers of staten.

  • Cijfer: Aantal geclaimde DDoS-aanvallen wereldwijd steeg van 12.700 (2023) naar 15.300 (2024).
  • Analogie: Duizenden mensen staan tegelijk in de deuropening van een winkel — niemand kan er meer in of uit.
  • Wat kun jij doen: Voor eindgebruikers: niets. Websitebeheerders: gebruik DDoS-bescherming zoals Cloudflare.

F.2 Botnet

Een netwerk van geïnfecteerde apparaten — computers, routers, slimme camera's — die zonder medeweten van de eigenaar door één crimineel worden bestuurd. Gebruikt voor DDoS, spam, cryptomining of het verspreiden van meer malware.

  • Cijfer: Kwaadaardige bot-activiteit steeg 38,5% in 2025.
  • Analogie: Duizenden zombies die zonder eigen wil de bevelen van één meester uitvoeren.
  • Wat kun jij doen: Houd alle apparaten (ook slimme apparaten) bijgewerkt. Wijzig standaardwachtwoorden van routers en camera's.

F.3 Cryptojacking

Malware gebruikt de rekenkracht van jóuw apparaat of server om cryptocurrency te minen — zonder dat je het weet. Jij betaalt de stroomrekening en de slijtage, terwijl de crimineel verdient.

  • Analogie: Iemand hangt zijn oplader in jouw stopcontact — de rekening is voor jou.
  • Wat kun jij doen: Wordt je apparaat onverklaarbaar heet en traag? Controleer op malware.
G Fysieke aanvallen

G.1 USB-drop

Een USB-stick (soms vermomd als een onschuldig apparaatje) wordt bewust ergens achtergelaten — parkeerplaats, kantoor, koffiehoek. Wie hem insteekt, installeert automatisch malware.

  • Cijfer: In een onderzoek stak 48% van de mensen een gevonden USB-stick in hun computer.
  • Analogie: Een snoepje dat je van de grond oppakt — je weet nooit wat erin zit.
  • Wat kun jij doen: Steek nooit een gevonden USB-stick in. Lever hem in bij beveiliging of gooi hem weg.

G.2 Shoulder surfing

Iemand kijkt mee terwijl je je pincode, wachtwoord of beveiligingscode invoert — in de trein, bij een pinautomaat, in een café. Eenvoudig, effectief en moeilijk te detecteren.

  • Analogie: Meekijken bij iemands kaartspel terwijl die denkt dat je de zaal in kijkt.
  • Wat kun jij doen: Houd je hand boven het toetsenbord bij het intoetsen van codes. Let op vreemde camera's bij pinautomaten.

G.3 Skimming

Een apparaatje op of in een pinautomaat of betaalterminal kopieert je bankpasgegevens bij het invoeren. Soms gecombineerd met een kleine camera voor de pincode. De online variant werkt via nep-betaalformulieren op websites.

  • Analogie: Iemand maakt een afdruk van je sleutel terwijl je hem even uitleent.
  • Wat kun jij doen: Controleer pinautomaten op losse onderdelen of vreemde afdekplaatjes. Gebruik contactloos betalen waar mogelijk.

G.4 Dumpster diving

Waardevolle informatie zoeken in afval — oude facturen, afgeschreven hardware, notities met inloggegevens, medische documenten. Bedrijven gooien soms harde schijven weg zonder ze te wissen.

  • Analogie: De vuilniszak van een bedrijf doorzoeken als een goudmijn.
  • Wat kun jij doen: Vernietig documenten met een papierversnipperaar. Wis harde schijven vóór je ze weggooit (of vernietig ze fysiek).
H Aanvallen op software zelf: de bouwstenen van apps

Vrijwel alle software — apps, websites, internetbankieren, ziekenhuissystemen — is gebouwd uit duizenden kleine hergebruikte stukjes code die ontwikkelaars downloaden van openbare bibliotheken. Als één van die bouwsteentjes vergiftigd is, treft het iedereen die die software gebruikt. Jij hoeft niets fout te doen. Jij merkt er niets van.

H.1 Vergiftigde open-source bouwstenen

Ontwikkelaars bouwen software met duizenden gratis herbruikbare stukjes code ("packages") uit openbare bibliotheken zoals npm (websites) en PyPI (Python). Aanvallers plaatsen daar kwaadaardige nep-packages of besmetten bestaande populaire packages. De besmetting zit dan verborgen in elke app die die code gebruikt.

  • Cijfer: In 2025 werden ruim 454.000 kwaadaardige packages ontdekt — +75% t.o.v. 2024. Meer dan 99% zit op npm (Sonatype, 2026).
  • Analogie: Een schroevenfabriek vergiftigt één type schroef. Alle fabrieken die die schroef gebruiken leveren daarna producten met een verborgen defect — zonder het te weten.
  • Wat kun jij doen: Gebruik apps van gerenommeerde aanbieders. Houd telefoon en computer bijgewerkt. Vraagt een app onverwacht om camera, contacten of locatie? Alarmbel.

H.2 Typosquatting

Een aanvaller registreert een packagenaam die bijna hetzelfde schrijft als een beroemde bibliotheek — één letter verschil, een streepje op de verkeerde plek. Een ontwikkelaar typt bij het installeren snel iets verkeerd en downloadt ongemerkt de kwaadaardige versie, die zich dan in alle software van die ontwikkelaar installeert.

  • Voorbeeld: "@acitons/artifact" (één letter verschil met de echte "@actions/artifact") werd in 2025 ruim 47.000 keer gedownload voordat het werd ontdekt.
  • Analogie: Een nep-winkel openen naast de Albert Heijn, met de naam "Albert Heïn" — en hopen dat mensen het verschil niet zien.
  • Wat kun jij doen: Als gebruiker: download apps alleen uit officiële stores. Als ontwikkelaar: vergrendel packageversies en gebruik een dependency-scanner.

H.3 Dependency confusion

Veel bedrijven gebruiken naast openbare software ook interne, zelfgemaakte packages met namen als "intern-betaalsysteem". Staan die namen nergens publiek geregistreerd, dan kan een aanvaller dezelfde naam claimen in de openbare bibliotheek. Bepaalde systemen geven de openbare versie dan voorrang — en installeren de kwaadaardige code.

  • Voorbeeld: In 2021 kreeg onderzoeker Alex Birsan zo toegang tot Apple, Microsoft en tientallen andere bedrijven.
  • Analogie: Een bedrijf stuurt interne post naar "Afdeling Financiën". Een buitenstaander opent een kantoor met diezelfde naam in hetzelfde gebouw. Alle post gaat nu naar hem.
  • Wat kun jij doen: Voor eindgebruikers geen directe actie. Kies dienstverleners die transparant zijn over hun beveiligingsbeleid.

H.4 Repo jacking

Veel software verwijst rechtstreeks naar GitHub-opslagplaatsen (repositories) van specifieke ontwikkelaars. Wijzigt die ontwikkelaar zijn gebruikersnaam of verwijdert hij zijn account, dan komt de naam vrij. Een aanvaller claimt precies die naam en plaatst kwaadaardige code op het "vertrouwde" adres.

  • Cijfer: In september 2025 trof de GhostAction-aanval 327 GitHub-gebruikers via 817 repositories.
  • Analogie: Een webwinkel verhuist en laat zijn oude domeinnaam verlopen. Een oplichter registreert die opnieuw en vangt alle klanten op die het oude adres nog hadden opgeslagen.
  • Wat kun jij doen: Houd software bijgewerkt via officiële kanalen. Automatische updates via directe bronnen zijn veiliger dan handmatige downloads.

H.5 Gecompromitteerde bouwlijn (CI/CD)

Moderne software wordt automatisch gebouwd en gepubliceerd via CI/CD-systemen — geautomatiseerde bouwlijnen die code omzetten naar een werkende app. Krijgt een aanvaller toegang tot zo'n bouwlijn (bijv. via GitHub Actions), dan kan hij kwaadaardige code aan het eindproduct toevoegen terwijl de originele broncode volkomen schoon blijft.

  • Voorbeeld: In 2025 werd GitHub Action "tj-actions/changed-files" gecompromitteerd; de bouwlijn lekte geheime sleutels van duizenden projecten.
  • Analogie: Een drukkerij vervalst boeken nádat de auteur het manuscript heeft ingeleverd — het manuscript is schoon, het gedrukte boek niet.
  • Wat kun jij doen: Kies software van bedrijven die code-ondertekening en build-attestatie toepassen (SLSA-framework) en transparant zijn over hun praktijken.

H.6 Zichzelf verspreidende supply-chain-wormen

De nieuwste generatie combineert alles hierboven in één zelfstandig werkende worm. In september 2025 verscheen Shai-Hulud: de eerste registry-native worm op npm. Hij stal automatisch de publicatie-sleutels van ontwikkelaars, gebruikte die om zelf kwaadaardige versies van andere populaire packages te publiceren, en verspreidde zich zo verder zonder menselijke hulp.

  • Cijfer: Ruim 1.000 packages besmet, blootstelling in ~25.000 GitHub-repositories. In april–mei 2026 volgde een tweede golf ("Mini Shai-Hulud") die zelfs packages met officiële beveiligingscertificaten wist te besmetten.
  • Analogie: Een geïnfecteerde medewerker steelt de toegangspas van elke collega die hij tegenkomt, kopieert die en geeft de pas ongemerkt terug — tot hij toegang heeft tot het hele gebouw.
  • Wat kun jij doen: Gebruik alleen apps van grote, serieuze aanbieders met eigen beveiligingsteams. Kleine, onbekende apps met weinig reviews zijn een groter risico — ook als ze legitiem beginnen.

Onderzoek uitgevoerd op 3 juli 2026. Bronnen: Sonatype State of the Software Supply Chain 2026, Microsoft Security Report 2025, Verizon DBIR 2025, OWASP Top 10:2025, Mandiant M-Trends 2026, deepstrike.io, Palo Alto Unit 42, GitGuardian, Tenable, NCSC. Alle bronnen →