NCSC waarschuwt voor gehackte npm- en Python-packages en roept op tot actie

Reageer met quote

01-04-2026, 12:58 door Anoniem

Dit is precies waarom al die taal specifieke "package managers" een slecht idee zijn. Npm en pypi zijn er maar twee, je hebt ook nog maven (java), crates (rust), docket images, en go zal ongetwijfeld ook zoiets hebben. Naar mijn mening zijn al die systemen Supply Chain Attacks waiting to happen ... maar ja, lekker makkelijk dus we maken iedereen er afhankelijk van zonder na te denken over de security implicaties ervan.

Reageer met quote

01-04-2026, 13:07 door Anoniem

Klopt, kwam laatst ook malware tegen, goed verborgen in Python wheels/extensions. Een pakket downloade talloze pakketen, ik meen wel 50+ pakketten en eentje ervan had verborgen malware. ESET detecteerde het niet, Windows defender net zo min. Ik moest Wireshark gebruiken om te kijken wat voor verkeer er naar buiten ging, en heb toen de onbekende C&C url's bij Virustotal ingevoerd, bleek malware te zijn. Python extensions zijn zeer moeilijk te scannen op malware. Dus vermijd het zoveel mogelijk.

Reageer met quote

01-04-2026, 13:55 door Anoniem

Wel een beetje laat. Trivu was begin vorige week al aangevallen.
https://semgrep.dev/blog/2026/the-teampcp-credential-infostealer-chain-attack-reaches-pythons-litellm/

Reageer met quote

01-04-2026, 14:34 door BaseFortify

Door Anoniem: Wel een beetje laat. Trivu was begin vorige week al aangevallen.
https://semgrep.dev/blog/2026/the-teampcp-credential-infostealer-chain-attack-reaches-pythons-litellm/

Inderdaad, maar zie het meer als een algemene waarschuwing. Het is nu de zoveelste supply chain attack, weer NPM en weer Python

Reageer met quote

01-04-2026, 15:50 door Anoniem

Als consumenten random code binnen halen en uitvoeren zeggen we inmiddels al 2+ decennia dat dat een zeer slecht idee is. Nu bedrijven en programmeurs het doen is dit een "way of working". Het is wachten op de volgende waarschuwing en de volgende supply chain aanval, want de manier van werken verandert. Het is net zoiets als SQL injection aanvallen of Fortinet bugs. Soms moet je een dag of 2 wachten, maar hun aanwezigheid laten nooit lang op zich wachten.

Reageer met quote

01-04-2026, 16:19 door Anoniem

Claude Code's Entire Source Code Was Just Leaked via npm Source Maps — Here's What's Inside
https://dev.to/gabrielanhaia/claude-codes-entire-source-code-was-just-leaked-via-npm-source-maps-heres-whats-inside-cjo

Reageer met quote

01-04-2026, 21:07 door Anoniem

Door Anoniem: Als consumenten random code binnen halen en uitvoeren zeggen we inmiddels al 2+ decennia dat dat een zeer slecht idee is. Nu bedrijven en programmeurs het doen is dit een "way of working". Het is wachten op de volgende waarschuwing en de volgende supply chain aanval, want de manier van werken verandert. Het is net zoiets als SQL injection aanvallen of Fortinet bugs. Soms moet je een dag of 2 wachten, maar hun aanwezigheid laten nooit lang op zich wachten.

Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

Reageer met quote

02-04-2026, 07:52 door Anoniem

Door Anoniem:

Door Anoniem: Als consumenten random code binnen halen en uitvoeren zeggen we inmiddels al 2+ decennia dat dat een zeer slecht idee is. Nu bedrijven en programmeurs het doen is dit een "way of working". Het is wachten op de volgende waarschuwing en de volgende supply chain aanval, want de manier van werken verandert. Het is net zoiets als SQL injection aanvallen of Fortinet bugs. Soms moet je een dag of 2 wachten, maar hun aanwezigheid laten nooit lang op zich wachten.

Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

onzinnige om Windows hier te noemen aangezien het op elk os precies hetzelfde is.

Reageer met quote

02-04-2026, 09:33 door Anoniem

Door Anoniem: Dit is precies waarom al die taal specifieke "package managers" een slecht idee zijn. Npm en pypi zijn er maar twee, je hebt ook nog maven (java), crates (rust), docket images, en go zal ongetwijfeld ook zoiets hebben. Naar mijn mening zijn al die systemen Supply Chain Attacks waiting to happen ... maar ja, lekker makkelijk dus we maken iedereen er afhankelijk van zonder na te denken over de security implicaties ervan.

Je noemt het lekker makkelijk, maar zie je dan een opzet voor je die wel werkt? Zelfs schatrijke partijen als Google en Apple slagen er niet in om hun appstores volledig integer te houden, ondanks het duidelijke commerciële belang dat ze daarbij hebben.

Het heeft voor heel wat programmeertalen zin om ergens bij elkaar te hebben wat er allemaal beschikbaar is aan libraries, frameworks en dergelijke. Je elimineert het probleem dat hier speelt niet als iedereen het maar van de eigen website van de makers downloadt. Sites als GitHub, waar de bulk natuurlijk op staat, kunnen ook niet garanderen dat er geen kwaadaardige code op voorkomt. Een Linux-distro als Debian heeft echt een indrukwekkend aantal pakketten aan boord, maar dat omvat in de verste verte niet alles wat er aan nuttigs staat in al die taalspecifieke repositories.

Het probleem lijkt mij niet dat het lekker makkelijk is om het niet goed te doen, maar dat het onmogelijk is om het perfect te doen.

Reageer met quote

02-04-2026, 12:26 door Anoniem

Door Anoniem:

Door Anoniem: Als consumenten random code binnen halen en uitvoeren zeggen we inmiddels al 2+ decennia dat dat een zeer slecht idee is. Nu bedrijven en programmeurs het doen is dit een "way of working". Het is wachten op de volgende waarschuwing en de volgende supply chain aanval, want de manier van werken verandert. Het is net zoiets als SQL injection aanvallen of Fortinet bugs. Soms moet je een dag of 2 wachten, maar hun aanwezigheid laten nooit lang op zich wachten.

Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

onzinnige om Windows hier te noemen aangezien het op elk os precies hetzelfde is.

Niet de manier van werken. Windows mensen zijn gewend code overal vandaan te plukken. Dat wil niet zeggen dat python webapp programmeurs dat niet doen.

Reageer met quote

02-04-2026, 16:21 door Anoniem

Door Anoniem:
Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

Als mensen dat ERGENS gewend zijn, is het wel in open source land.

Join us now and share the software;
You'll be free, hackers, you'll be free.
Join us now and share the software;
You'll be free, hackers, you'll be free.

Kennen we dit nog ?

Wat fijn, iedereen deelt code op Internet, iedereen maakt bugfixes, en "iedereen analyseert de code" . Yeah right.

Van cpan, pip, npm, "gnu.org" ,"sunsite" naar "kant en klare docker images" op github of natuurlijk een "fijn anoniem niet-microsoft-owned" vervangend git gebaseerd repo .

Voornaamste fout van de aanvallers was hier om een heel erg high profile module te nemen - die heeft misschien net teveel gebruikers en aandacht om onopgemerkt te bleven.
We hebben feitelijk erg veel mazzel gehad dat zo'n marginaal-maar-nuttig support librarie'tje als xz gevonden werd, want dat slipt veel makkelijker onder de radar dan een heel zichtbare http module.

Reageer met quote

03-04-2026, 09:53 door Anoniem

Door Anoniem:

Door Anoniem: Als consumenten random code binnen halen en uitvoeren zeggen we inmiddels al 2+ decennia dat dat een zeer slecht idee is. Nu bedrijven en programmeurs het doen is dit een "way of working". Het is wachten op de volgende waarschuwing en de volgende supply chain aanval, want de manier van werken verandert. Het is net zoiets als SQL injection aanvallen of Fortinet bugs. Soms moet je een dag of 2 wachten, maar hun aanwezigheid laten nooit lang op zich wachten.

Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

onzinnige om Windows hier te noemen aangezien het op elk os precies hetzelfde is.

Niet de manier van werken. Windows mensen zijn gewend code overal vandaan te plukken. Dat wil niet zeggen dat python webapp programmeurs dat niet doen.

Klok en klepel.
ELKE moderne programmeertaal heeft 3th party dependencies.
Om alles zelf te schrijven is tegenwoordig onmogelijk.

Reageer met quote

03-04-2026, 11:34 door Anoniem

Door Anoniem:

Door Anoniem:
Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

Als mensen dat ERGENS gewend zijn, is het wel in open source land.

Join us now and share the software;
You'll be free, hackers, you'll be free.
Join us now and share the software;
You'll be free, hackers, you'll be free.

Kennen we dit nog ?

Wat fijn, iedereen deelt code op Internet, iedereen maakt bugfixes, en "iedereen analyseert de code" . Yeah right.

Van cpan, pip, npm, "gnu.org" ,"sunsite" naar "kant en klare docker images" op github of natuurlijk een "fijn anoniem niet-microsoft-owned" vervangend git gebaseerd repo .

Voornaamste fout van de aanvallers was hier om een heel erg high profile module te nemen - die heeft misschien net teveel gebruikers en aandacht om onopgemerkt te bleven.
We hebben feitelijk erg veel mazzel gehad dat zo'n marginaal-maar-nuttig support librarie'tje als xz gevonden werd, want dat slipt veel makkelijker onder de radar dan een heel zichtbare http module.

Wel eens van signatures gehoord? Linux beheerders halen de code van bekende repostories. Bij Redhat bv wordt elke file ge-reviewd. Windows beheerders slepen de code overal vandaan omdat Microsoft geen niet-microsoft code support.

Reageer met quote

03-04-2026, 13:32 door Anoniem

Door Anoniem:

Door Anoniem:
Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

Als mensen dat ERGENS gewend zijn, is het wel in open source land.

Join us now and share the software;
You'll be free, hackers, you'll be free.
Join us now and share the software;
You'll be free, hackers, you'll be free.

Kennen we dit nog ?

Wat fijn, iedereen deelt code op Internet, iedereen maakt bugfixes, en "iedereen analyseert de code" . Yeah right.

Van cpan, pip, npm, "gnu.org" ,"sunsite" naar "kant en klare docker images" op github of natuurlijk een "fijn anoniem niet-microsoft-owned" vervangend git gebaseerd repo .

Voornaamste fout van de aanvallers was hier om een heel erg high profile module te nemen - die heeft misschien net teveel gebruikers en aandacht om onopgemerkt te bleven.
We hebben feitelijk erg veel mazzel gehad dat zo'n marginaal-maar-nuttig support librarie'tje als xz gevonden werd, want dat slipt veel makkelijker onder de radar dan een heel zichtbare http module.

Wel eens van signatures gehoord? Linux beheerders halen de code van bekende repostories. Bij Redhat bv wordt elke file ge-reviewd. Windows beheerders slepen de code overal vandaan omdat Microsoft geen niet-microsoft code support.

Ja, wel eens van gehoord. Ik denk dat ik er meer van weet dan jij.

Geen idee waarom je niet kunt snappen dat een gehackte maintainer van de code dus code publiceert met volledig valide signature - alles klopt, komt van de juiste bron site , en voor zover de maintainer code signed IS de malware gesigned.

Je weet ook dat de mazzel-ontdekking van de XZ trojan NIET gedaan werd door redhat/ubuntu/debian packager ?
En de Axios npm trojan ook niet ?

Je weet ook dat "beheerders" wat anders doen dan "developers" ?

En je weet blijkbaar ook niet dat voor erg veel developers de packaged software niet compleet of up to date genoeg (dat is ietwat begrijpelijk , als je kijkt hoe langzaam het library landschap van distro's update ) - of dat een module gewoon niet gepackaged is door eenn distro.

Organisatie risco #123443 : arrogante beheerder snapt risicos niet en denkt dat "Linux gebruiken" genoeg is om veilig te blijven.

Reageer met quote

03-04-2026, 15:51 door Anoniem

Door Anoniem:

Door Anoniem:
Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

Als mensen dat ERGENS gewend zijn, is het wel in open source land.

Join us now and share the software;
You'll be free, hackers, you'll be free.
Join us now and share the software;
You'll be free, hackers, you'll be free.

Kennen we dit nog ?

Wat fijn, iedereen deelt code op Internet, iedereen maakt bugfixes, en "iedereen analyseert de code" . Yeah right.

Van cpan, pip, npm, "gnu.org" ,"sunsite" naar "kant en klare docker images" op github of natuurlijk een "fijn anoniem niet-microsoft-owned" vervangend git gebaseerd repo .

Voornaamste fout van de aanvallers was hier om een heel erg high profile module te nemen - die heeft misschien net teveel gebruikers en aandacht om onopgemerkt te bleven.
We hebben feitelijk erg veel mazzel gehad dat zo'n marginaal-maar-nuttig support librarie'tje als xz gevonden werd, want dat slipt veel makkelijker onder de radar dan een heel zichtbare http module.

Wel eens van signatures gehoord? Linux beheerders halen de code van bekende repostories. Bij Redhat bv wordt elke file ge-reviewd. Windows beheerders slepen de code overal vandaan omdat Microsoft geen niet-microsoft code support.

Ja, wel eens van gehoord. Ik denk dat ik er meer van weet dan jij.

Geen idee waarom je niet kunt snappen dat een gehackte maintainer van de code dus code publiceert met volledig valide signature - alles klopt, komt van de juiste bron site , en voor zover de maintainer code signed IS de malware gesigned.

Je weet ook dat de mazzel-ontdekking van de XZ trojan NIET gedaan werd door redhat/ubuntu/debian packager ?
En de Axios npm trojan ook niet ?

Je weet ook dat "beheerders" wat anders doen dan "developers" ?

En je weet blijkbaar ook niet dat voor erg veel developers de packaged software niet compleet of up to date genoeg (dat is ietwat begrijpelijk , als je kijkt hoe langzaam het library landschap van distro's update ) - of dat een module gewoon niet gepackaged is door eenn distro.

Organisatie risco #123443 : arrogante beheerder snapt risicos niet en denkt dat "Linux gebruiken" genoeg is om veilig te blijven.

Niet zo maar iets downloaden hoor! De malware heeft namelijk helemaal niet in de broncode op Github gestaan.
De XZ probleem package is helemaal niet verschenen in de productie repo!
Afgerond 100% van de ransomware gevallen is windows based, terwijl het al lang niet meer het meest gebruikte OS is!
Dat zegt genoeg.

Reageer met quote

03-04-2026, 16:05 door Anoniem

Door Anoniem:

Door Anoniem:
Het probleem is dat gebruikers dit gewend zijn bij een windowsomgeving. Code komt overal vandaan.

Als mensen dat ERGENS gewend zijn, is het wel in open source land.

Join us now and share the software;
You'll be free, hackers, you'll be free.
Join us now and share the software;
You'll be free, hackers, you'll be free.

Kennen we dit nog ?

Wat fijn, iedereen deelt code op Internet, iedereen maakt bugfixes, en "iedereen analyseert de code" . Yeah right.

Van cpan, pip, npm, "gnu.org" ,"sunsite" naar "kant en klare docker images" op github of natuurlijk een "fijn anoniem niet-microsoft-owned" vervangend git gebaseerd repo .

Voornaamste fout van de aanvallers was hier om een heel erg high profile module te nemen - die heeft misschien net teveel gebruikers en aandacht om onopgemerkt te bleven.
We hebben feitelijk erg veel mazzel gehad dat zo'n marginaal-maar-nuttig support librarie'tje als xz gevonden werd, want dat slipt veel makkelijker onder de radar dan een heel zichtbare http module.

Wel eens van signatures gehoord? Linux beheerders halen de code van bekende repostories. Bij Redhat bv wordt elke file ge-reviewd. Windows beheerders slepen de code overal vandaan omdat Microsoft geen niet-microsoft code support.

Ja, wel eens van gehoord. Ik denk dat ik er meer van weet dan jij.

Geen idee waarom je niet kunt snappen dat een gehackte maintainer van de code dus code publiceert met volledig valide signature - alles klopt, komt van de juiste bron site , en voor zover de maintainer code signed IS de malware gesigned.

Je weet ook dat de mazzel-ontdekking van de XZ trojan NIET gedaan werd door redhat/ubuntu/debian packager ?
En de Axios npm trojan ook niet ?

Je weet ook dat "beheerders" wat anders doen dan "developers" ?

En je weet blijkbaar ook niet dat voor erg veel developers de packaged software niet compleet of up to date genoeg (dat is ietwat begrijpelijk , als je kijkt hoe langzaam het library landschap van distro's update ) - of dat een module gewoon niet gepackaged is door eenn distro.

Organisatie risco #123443 : arrogante beheerder snapt risicos niet en denkt dat "Linux gebruiken" genoeg is om veilig te blijven.

Ik zie dat NASA dag 1 al communicatie problemen had met de astrounauten. Hoe halen ze het in hun hoofd om een windows laptop te gebruiken. ISS gebruikte in het begin ook een windows laptop. Nadat er een virus in zit zijn ze overgetapt op Linux (debian en RH). Altijd probleemloos gedraaid. Ongetwijfeld is deze overstap opgedrongen door bigtech en de Trump administratie (Jared Isaacman ) anders doe je niet zo fantastisch olie dom: https://www.theregister.com/2026/04/02/artemis_astronauts_microsoft_outlook_broken/
Het is gewoon een never ending story. Ik dacht al bij de start hoe kan je nu een communicatie probleem hebben! Het zal mij nu niet verbazen als de Iraniers, Chinezen of Russen meereizen.

NCSC waarschuwt voor gehackte npm- en Python-packages en roept op tot actie

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Toegang banken tot de Basisregistratie Personen (BRP):

Wachtwoord Vergeten

Password Reset

Registreren