Een ontwikkelaar ontvangt een LinkedIn-bericht van een recruiter. De rol ziet er legitiem uit. Voor de coderingsbeoordeling is de installatie van een pakket vereist. Dit pakket exfiltreert alle cloudreferenties van de machine van de ontwikkelaar (persoonlijke toegangstokens van GitHub, AWS API-sleutels, Azure-service-principals en meer) en de tegenstander bevindt zich binnen enkele minuten in de cloudomgeving.
Uw e-mailbeveiliging heeft het nog nooit gezien. Mogelijk heeft uw afhankelijkheidsscanner het pakket gemarkeerd. Niemand zag wat er daarna gebeurde.
De aanvalsketen wordt steeds meer bekend als de identiteits- en toegangsbeheerspil (IAM) en vertegenwoordigt een fundamentele leemte in de manier waarop bedrijven op identiteit gebaseerde aanvallen monitoren. CrowdStrike Intelligence-onderzoek De op 29 januari gepubliceerde documenten documenteren hoe verzetsgroepen deze aanvalsketen op industriële schaal hebben geoperationaliseerd. Bedreigingsactoren verbergen de levering van getrojaniseerde Python- en npm-pakketten via wervingsfraude en schakelen vervolgens over van gestolen ontwikkelaarsreferenties naar een volledige IAM-compromis in de cloud.
In één geval eind 2024 leverden aanvallers kwaadaardige Python-pakketten aan een Europees FinTech-bedrijf via lokvogels met een rekruteringsthema, schakelden ze over op IAM-cloudconfiguraties en stuurden ze cryptocurrency om naar door tegenstanders gecontroleerde portemonnees.
De toegang tot de uitgang heeft nooit de e-mailgateway van het bedrijf bereikt en er is geen digitaal bewijsmateriaal om verder te gaan.
Over een recente aflevering van CrowdStrike’s Tegenstander Universe-podcastAdam Meyers, directeur inlichtingen en hoofd van de vijandelijke operaties van het bedrijf, beschreef de reikwijdte: meer dan 2 miljard dollar in verband met cryptocurrency-operaties die worden uitgevoerd door een vijandige entiteit. Gedecentraliseerde valuta, legde Meyers uit, is ideaal omdat aanvallers hierdoor tegelijkertijd sancties en detectie kunnen vermijden. CrowdStrike’s CTO voor Amerika, Cristian Rodriguez, legde uit dat omzetsucces de specialisatie van de organisatie heeft gestimuleerd. Wat ooit een enkele dreigingsgroep was, is opgesplitst in drie afzonderlijke eenheden die zich richten op cryptocurrency-, fintech- en spionagedoelen.
Dat geval stond niet op zichzelf. Het Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) en beveiligingsbedrijf JFrog heeft overlappende campagnes in het npm-ecosysteem gevolgd, waarbij JFrog 796 gecompromitteerde pakketten heeft geïdentificeerd in een zichzelf replicerende worm die zich verspreidt via geïnfecteerde afhankelijkheden. Het onderzoek documenteert verder WhatsApp-berichten als een primaire initiële compromisvector, waarbij kwaadwillenden kwaadaardige ZIP-bestanden met trojan-applicaties via het platform afleveren. De e-mailbeveiliging van het bedrijf onderschept dit kanaal nooit.
De meeste beveiligingsstacks zijn geoptimaliseerd voor een toegangspunt dat deze aanvallers volledig hebben verlaten.
Wanneer afhankelijkheidsscannen niet voldoende is
Tegenstanders wisselen in realtime van invoervector. Getrojaniseerde pakketten komen niet zoals voorheen via typosquatting binnen: ze worden handmatig afgeleverd via persoonlijke berichtenkanalen en sociale platforms waar zakelijke e-mailgateways niet in aanraking komen. CrowdStrike documenteerde tegenstanders die kunstaas met een werkgelegenheidsthema afstemden op specifieke sectoren en rollen, en observeerde de implementatie van gespecialiseerde malware bij FinTech-bedrijven tot in juni 2025.
CISA heeft dit op grote schaal gedocumenteerd in september werd een wijdverbreide npm-supply chain-compromis aangekondigd, gericht op persoonlijke GitHub-toegangstokens en AWS-, GCP- en Azure API-sleutels. Schadelijke code werd tijdens de installatie van het pakket op inloggegevens gescand en naar externe domeinen geëxfiltreerd.
Afhankelijkheidsscans leggen het pakket vast. Het is de eerste controle en de meeste organisaties beschikken erover. Bijna niemand heeft de andere, namelijk runtime-gedragsmonitoring die het exfiltreren van inloggegevens detecteert tijdens het installatieproces zelf.
“Als je deze aanval terugbrengt tot de essentie, dan valt niet een doorbraaktechniek op”, zegt Shane Barney, CISO bij Keeper Security, in een analyse van een recente cloudaanvalketen. “Het gaat om hoe weinig weerstand de omgeving bood toen de aanvaller legale toegang kreeg.”
Tegenstanders worden steeds beter in het creëren van dodelijke, onbewaakte draaipunten
Google Cloud Threat Horizons-rapport ontdekte dat zwakke of ontbrekende inloggegevens verantwoordelijk waren voor 47,1% van de cloudincidenten in de eerste helft van 2025, terwijl verkeerde configuraties nog eens 29,4% toevoegden. Deze cijfers zijn in opeenvolgende verslagperiodes stabiel gebleven. Dit is een chronische aandoening, geen nieuwe bedreiging. Aanvallers met geldige inloggegevens hoeven niets te misbruiken. Ze loggen in.
Onderzoek eerder deze maand gepubliceerd heeft precies aangetoond hoe snel deze draai wordt uitgevoerd. Kalmerend documenteerde een aanvalsketen waarbij gecompromitteerde inloggegevens binnen acht minuten de privileges van de cloudbeheerder bereikten, waarbij 19 IAM-rollen werden doorlopen voordat Amazon Bedrock AI-modellen werden opgesomd en het loggen van modelaanroepen werd uitgeschakeld.
Acht minuten. Geen malware. Geen uitbuiting. Alleen een geldige referentie en de afwezigheid van IAM-gedragsbasislijnen.
Ram Varadarajan, CEO van Calvio, zeg het maar bot: De snelheid van inbreuken is verschoven van dagen naar minuten, en het verdedigen tegen deze aanvalsklasse vereist technologie die met dezelfde snelheid kan redeneren en reageren als geautomatiseerde aanvallers.
Identity Threat Detection and Response (ITDR) pakt deze kloof aan door te monitoren hoe identiteiten zich gedragen in cloudomgevingen, en niet alleen of ze met succes zijn geverifieerd. KuppingerCole’s Leiderschapskompas 2025 bij ITDR ontdekte dat de meerderheid van de identiteitsinbreuken nu voortkomt uit gecompromitteerde niet-menselijke identiteiten, maar dat de adoptie van ITDR door bedrijven ongelijk blijft.
Morgan Adamski, PwC’s vicevoorzitter cyber-, data- en technologierisico’s, plaats de inspanning in operationele termen. Het verkrijgen van de juiste identiteit, inclusief AI-agenten, betekent controleren wie wat kan doen op machinesnelheid. Brandalarmen van overal kunnen geen gelijke tred houden met multicloud-uitbreiding en identiteitsgerichte aanvallen.
Waarom AI-gateways dit niet stoppen
AI-gateways blinken uit in het valideren van authenticatie. Ze controleren of de identiteit die toegang vraagt tot een modeleindpunt of trainingspijplijn het juiste token heeft en bevoegdheden heeft binnen het tijdsbestek dat is gedefinieerd door beheerders en governancebeleid. Ze controleren niet of deze identiteit zich gedraagt volgens het historische patroon of willekeurig de infrastructuur doorzoekt.
Neem een ontwikkelaar die normaal gesproken twee keer per dag een codeaanvullingsmodel opvraagt, plotseling alle Bedrock-modellen in het account opsomt en eerst het loggen uitschakelt. Een AI-gateway ziet een geldig token. ITDR constateert een anomalie.
EEN blogpost van CrowdStrike onderstreept waarom dit nu belangrijk is. De verzetsgroepen die het volgt, zijn geëvolueerd van opportunistische identiteitsdiefstal tot cloudbewuste inbraakoperatoren. Ze draaien van gecompromitteerde ontwikkelaarswerkstations rechtstreeks naar IAM-cloudconfiguraties, dezelfde configuraties die de toegang tot de AI-infrastructuur controleren. De gedeelde tools op verschillende apparaten en de gespecialiseerde malware voor cloudomgevingen geven aan dat dit niet experimenteel is. Het is geïndustrialiseerd.
Het Office of the CISO van Google Cloud heeft dit rechtstreeks aangepakt in hun Cyberveiligheidsvoorspelling december 2025en merkt op dat raden van bestuur nu vragen stellen over de veerkracht van het bedrijf tegen aanvallen op machinesnelheid. Het beheren van zowel menselijke als niet-menselijke identiteiten is van cruciaal belang om de risico’s van niet-deterministische systemen te beperken.
Er is geen luchtgat dat computer-IAM scheidt van de AI-infrastructuur. Zodra de cloudidentiteit van een ontwikkelaar is gekaapt, heeft de aanvaller toegang tot modelgewichten, trainingsgegevens, inferentie-eindpunten en met welke tools deze modellen verbinding maken via protocollen zoals het model context protocol (MCP).
De MCP-verbinding is niet langer theoretisch. OpenClaw, een open source autonome AI-agent die in één week 180.000 GitHub-sterren heeft overschreden, maakt verbinding met e-mail, berichtenplatforms, agenda’s en code-uitvoeringsomgevingen via MCP en directe integraties. Ontwikkelaars installeren het op bedrijfsmachines zonder een beveiligingsbeoordeling.
Het AI-beveiligingsonderzoeksteam van Cisco noemde de tool ‘baanbrekend’ vanuit een capaciteitsoogpunt en ‘een absolute nachtmerrie’ vanuit een beveiligingsoogpunt, wat precies het soort agentinfrastructuur weerspiegelt dat een gekaapte cloudidentiteit kan bereiken.
De IAM-implicaties zijn direct. IN een analyse gepubliceerd op 4 februariCrowdStrike CTO Elia Zaitsev waarschuwde dat “een succesvolle snelle injectie tegen een AI-agent niet alleen een datalekvector is. Het is een potentiële steunpilaar voor geautomatiseerde zijwaartse beweging waarbij de gecompromitteerde agent doorgaan met het uitvoeren van aanvallersdoelen over de hele infrastructuur.”
De legitieme toegang van de agent tot API’s, databases en bedrijfssystemen wordt de toegang van de tegenstander. Deze aanvalsketen eindigt niet bij het eindpunt van het model. Als er een agentgereedschap achter zit, strekt de explosieradius zich uit tot alles wat de agent kan bereiken.
Waar de controlegaten zijn
Deze aanvalsketen is in drie fasen verdeeld, elk met een duidelijke controlekloof en een specifieke actie.
Toegang: Trojaanse pakketten die via WhatsApp, LinkedIn en andere niet-e-mailkanalen worden afgeleverd, omzeilen de e-mailbeveiliging volledig. CrowdStrike documenteerde kunstaas met een werkgelegenheidsthema, afgestemd op specifieke sectoren, met WhatsApp als primair leveringsmechanisme. De kloof: Afhankelijkheidsscans vangen het pakket op, maar niet de exfiltratie van de runtime-referenties. Voorgestelde actie: Implementeer runtime-gedragsmonitoring op ontwikkelaarswerkstations die toegangspatronen voor inloggegevens markeren tijdens de installatie van pakketten.
Scharnier: Gestolen inloggegevens maken het mogelijk om IAM-rollen op zich te nemen die onzichtbaar zijn voor perimetergebaseerde beveiliging. In het gedocumenteerde Europese FinTech-geval van CrowdStrike stapten aanvallers rechtstreeks over van een gecompromitteerde ontwikkelaarsomgeving naar cloud-IAM-configuraties en bijbehorende bronnen. De kloof: Er bestaan geen gedragsbasislijnen voor het gebruik van cloudidentiteit. Voorgestelde actie: Implementeer ITDR die het identiteitsgedrag in cloudomgevingen monitort en laterale bewegingspatronen signaleert, zoals de 19-rollen-traversal die is gedocumenteerd in het Sysdig-onderzoek.
Objectief: De AI-infrastructuur vertrouwt op de geverifieerde identiteit zonder de gedragsconsistentie te evalueren. De kloof: AI-gateways valideren tokens, maar geen gebruikspatronen. Voorgestelde actie: Implementeer AI-specifieke toegangscontroles die modeltoegangsaanvragen correleren met identiteitsgedragsprofielen en logboekregistratie afdwingen die de toegangsidentiteit niet kan uitschakelen.
Jason Soroko, senior fellow bij Sectigo, de oorzaak geïdentificeerd: Kijk voorbij het nieuws met AI-hulp en het is de alledaagse bug die dit mogelijk heeft gemaakt. Geldige referenties worden weergegeven in openbare S3-buckets. Een koppige weigering om de basisprincipes van veiligheid onder de knie te krijgen.
Wat moet binnen de komende 30 dagen worden gevalideerd
Controleer uw IAM-monitoringstack aan de hand van deze driestapsketen. Als u afhankelijkheidsscans hebt maar geen runtime-gedragsmonitoring, kunt u het kwaadaardige pakket onderscheppen, maar de diefstal van inloggegevens missen. Als u cloudidentiteiten goedkeurt, maar hun gedrag niet baseert, ziet u de zijbeweging niet. Als uw AI-gateway tokens maar geen gebruikspatronen controleert, gaat een gekaapte inloggegevens rechtstreeks naar uw modellen.
De perimeter is niet meer waar dit gevecht plaatsvindt. Identiteit is.
