GitHub heeft bevestigd dat de inbraak in een deel van zijn interne repositories kwam door een besmette versie van de nx Console Microsoft Visual Studio Code-extensie. De Nx-groep zegt ook dat de extensie
nrwl.angular-console
is geraakt nadat het systeem van een ontwikkelaar was gehackt. Dat klinkt technisch, maar het simpele punt is: een tool die developers normaal uit de officiële winkel halen, bleek via de keten besmet te zijn.
Kort nieuws
GitHub meldde op woensdag dat de aanval op zijn interne repositories niet zomaar uit de lucht kwam vallen. De oorzaak lag bij een medewerkerstoestel dat was gecompromitteerd, waarbij een vervuilde versie van de Nx Console-extensie een rol speelde. Die extensie hoort bij de ontwikkelomgeving in Visual Studio Code, een programma dat veel softwarebouwers gebruiken.
De Nx-teams maakten tegelijk bekend dat hun extensie nrwl.angular-console ook was getroffen nadat een systeem van een ontwikkelaar was gehackt. Daarmee wordt dit een klassiek voorbeeld van een ketenprobleem: als één bouwsteen besmet raakt,kan de rest meekrijgen wat eigenlijk nooit had mogen binnenkomen.
Waarom is dit belangrijk?
Voor gewone gebruikers voelt dit niet als een lek in hun eigen laptop. Er staat niet ineens een vreemd venster open op je scherm. Maar dit soort incidenten raakt wel de software die jij later op je pc,telefoon of werkplek gebruikt.
Als ontwikkeltools worden misbruikt, kan dat gevolgen hebben voor de code van apps, webdiensten en andere software. Dat maakt het interessant voor kleine bedrijven en zzp’ers die zelf software laten bouwen, plugins gebruiken of werken met een IT-partner die veel uit de browser en code-editor haalt.
Ook laat dit weer zien dat een update of extensie niet automatisch veilig is omdat die “officieel” lijkt. Een besmette versie in een vertrouwde omgeving is juist gemeen, omdat mensen minder argwaan hebben. De bever-variant: zelfs een nette tak kan een rot plekje hebben 🦫
Voor wie telt dit mee?
Niet iedereen hoeft meteen in de stress. Maar een paar groepen moeten wel even opletten:
| Wie | Waarom dit telt |
|---|---|
| Ontwikkelaars | gebruik van VS Code-extensies en bouwtools kan direct relevant zijn |
| Kleine IT-teams | Interne repositories of ontwikkelaccounts kunnen geraakt zijn |
| Zzp’ers die software laten maken | Levertijd, codekwaliteit of leveringsketen kan meespelen |
| Kleine bedrijven met externe bouwers | Ook als je zelf niet programmeert, kan je software via een derde partij lopen |
Voor gebruikers thuis is het minder een direct pc-probleem en meer een “wat zit er achter mijn app?”-vraag. Als je een app of website gebruikt die door een besmette bouwketen is aangeraakt,merk je dat meestal niet meteen. Het nieuws zit dus vooral aan de kant van de makers, niet aan je eigen muis of toetsenbord.
Wat merk jij hiervan?
Meestal zie je niets direct. Geen pop-up, geen foutmelding, geen duidelijke waarschuwing op je telefoon. Dat maakt dit soort nieuws ook zo verraderlijk.
Wat je wél kunt merken, is indirect:
- een update die vertraging oploopt;
- een dienst die tijdelijk extra controle moet doen;
- een ontwikkelteam dat extensies, inlogtoegang of interne tools opnieuw moet nalopen;
- mogelijk extra voorzichtigheid bij software die uit zo’n bouwstraat komt.
Voor kleine bedrijven is het belangrijker om te weten of hun leveranciers en ontwikkelaars met VS Code-extensies, interne repositories of andere bouwtools werken. Niet omdat iedereen meteen moet stoppen met updaten, maar omdat een besmette tool in de keten veel effect kan hebben zonder dat je het meteen ziet.
Wat moet je nu nalopen?
Je hoeft thuis niet alles om te gooien. Maar als jij of je bedrijf met softwarebouw werkt, is dit een slim kort lijstje:
- Check of je werkt met Visual Studio Code-uitbreidingen voor development, en of je die alleen uit vertrouwde bronnen haalt.
- Kijk of je externe ontwikkelaars of bureaus gebruikt die met Nx of vergelijkbare bouwtools werken.
- Vraag bij gevoelige software of er extra controle is gedaan op repositories, builds en updates.
- Laat interne accounts en inlogrechten nakijken als er iets vreemds is geweest op een medewerkerstoestel.
- Wees extra alert op updates die onverwacht snel of half af worden doorgeduwd.
Meer hoeft het nu niet te zijn. Dit nieuws vraagt vooral om een korte check, geen grote paniekactie. Als je team al netjes werkt met updates en rechten, zit je vaak al een stuk beter. En nee, je hoeft je router niet boos aan te kijken omdat er ergens een ontwikkelaarstool is geraakt.
Goed om te onthouden
De kern is simpel: GitHub zegt dat de inbraak in zijn interne repositories terug te voeren is op een medewerkerstoestel met een besmette Nx Console-extensie. De Nx-groep meldt tegelijk dat de extensie
nrwl.angular-console
is gehackt nadat een ontwikkelaarsysteem was gecompromitteerd.
Dat betekent niet dat elke gebruiker meteen iets moet doen. Het betekent wel dat softwareketens kwetsbaar zijn op plekken waar mensen vaak blind vertrouwen hebben: extensies, bouwtools en interne repositories. Voor gewone gebruikers is de les vooral dat een app of dienst pas echt veilig is als ook de mensen erachter scherp blijven op hun tools.
Bevers gedachte: het water lijkt rustig, maar onder de oever kan best veel bewegen. En juist daarom zijn zulke “achter-de-schermen”-lekken belangrijk om in de gaten te houden.
Als je dit nieuws volgt, is Vier nieuwe npm-pakketten blijken kwaadaardige software te bevatten die info steelt ook nog wel interessant.