CyberVergelijker

28 april 2026

Cyberbedreiging april 2026: Microsoft patch, nep VS Code extensies

Microsoft patcht kritieke Entra ID-flaw. 73 nep VS Code-extensies met GlassWorm malware. Lees wat Nederlandse gebruikers moeten weten en doen.

Door CyberVergelijker redactie

Cyberbedreiging april 2026: Microsoft patch, nep VS Code extensies

Microsoft heeft deze week een kritieke kwetsbaarheid in Entra ID gepatcht die kan leiden tot privilege escalation en identiteitsdiefstal. Ondertussen hebben onderzoekers 73 nep Visual Studio Code-extensies ontmaskerd die malware verspreiden. Voor Nederlandse gebruikers en bedrijven zijn dit alarmsignalen: cloud-identiteiten en populaire ontwikkelaarstools staan onder druk. We zetten de beveiligingstrucs deze week op een rij.

Wat is er precies gebeurd?

Microsoft Entra ID (voorheen Azure AD) bevatte een kritieke fout in de “Agent ID Administrator”-rol, een beheerdersrol speciaal ontworpen voor kunstmatige intelligentie (AI)-agenten. Securitybedrijf Silverfort ontdekte dat aanvallers deze rol konden misbruiken om privileges uit te breiden en identiteiten van service principals over te nemen. Een service principal is een Azure-object dat applicaties toegang geeft tot cloud-resources.

De kwetsbaarheid stelde aanvallers in staat om zich als geverifieerde AI-agenten voor te doen en zo administratieve taken uit te voeren zonder volledige administratorrights te hebben. Microsoft heeft de fout inmiddels gepatcht en gegeven alle beheerders aan om hun Entra ID-instellingen onmiddellijk te controleren.

Tegelijkertijd onthulden onderzoekers een grootschalige campagne met 73 nep VS Code-extensies op de Open VSX-repository. Deze klonen van legitieme extensies verspreiden GlassWorm v2-malware, een informatiediefstal-tool die gevoelige ontwikkelaarsinformatie steelt. Het is een waarschuwing hoe makkelijk aanvallers open source-repositories gebruiken om malware te verspreiden.

Ook deze week reporteerden media dat een Chinese hacker, vermoedelijk verbonden aan Silk Typhoon (een cyberespionageeenheid van Chinese inlichtingendiensten), van Italië naar de VS werd uitgeleverd. Dit onderstreept hoe ernstig internationale cyberespionageoperaties zijn geworden.

Waarom is dit belangrijk voor Nederlandse gebruikers en bedrijven?

In Nederland zijn tienduizenden bedrijven afhankelijk van Microsoft Entra ID voor identiteitsmanagement. Banken, ziekenhuizen, overheidsinstanties en tech-bedrijven vertrouwen op Azure AD voor veilige toegang tot kritieke systemen. Een privilege escalation-flaw betekent dat aanvallers zich kunnen oprichten tot administrator zonder volledige credentials, wat leidt tot:

  • Lateral movement: Aanvallers kunnen zich verspreiden naar andere cloudservices en on-premises systemen
  • Datadiefstallen: Toegang tot gevoelige bedrijfsgegevens, klantinformatie en financiële records
  • Ransomware-implementatie: Systemen kunnen versleuteld worden voor geld
  • Comply-risico’s: GDPR-boetes en reputatieschade door identiteitsdiefstal

VS Code is de populairste code-editor voor Nederlandse developers. Het GlassWorm-incident toont aan dat zelfs gevestigde platforms niet immuun zijn. Developers die nep-extensies installeren, riskeren dat hun SSH-sleutels, API-tokens en repository-credentials worden gestolen. Dit kan tot supply chain-aanvallen leiden waarbij hele softwareprojecten gecompromitteerd raken.

Het Silverfort-rapport wijst ook op een groter probleem: Nederlandse IT-teams hebben vaak onvoldoende zicht op privilege escalation-routes. Veel bedrijven ontdekken te laat dat hun cloud-omgeving kwetsbaar is.

Wat kun je doen?

  1. Controleer je Entra ID-rollen: Ga naar Azure Portal en check welke gebruikers en service principals de rol “Agent ID Administrator” hebben. Verwijder onnodig gebruikers onmiddellijk.
  2. Zet multi-factor authentication (MFA) actief: Zorg dat alle administratoraccounts MFA gebruiken. Dit voorkomt dat aanvallers met gestolen credentials inloggen. Lees meer over Beste gratis antivirus 2026 Nederland: wat werkt echt, wat niet voor extra bescherming.
  3. Audit je VS Code-extensies: Developers: ga naar je VS Code extensies en controleer de bron. Verwijder extensies van onbekende publishers. Kijk op de officiële VS Code Marketplace in plaats van Open VSX.
  4. Implementeer conditional access-beleid: Stel regels in zodat logins van onverwachte locaties of apparaten geblokkeerd worden. Dit helpt tegen account takeover.
  5. Monitor privilege escalation: Zet alerts in voor onverwachte rolveranderingen in Entra ID. Tools als Defender for Cloud helpen hiermee.
  6. Update VS Code: Zorg dat je de nieuwste versie van VS Code draait. Microsoft geeft regelmatig security updates uit.
  7. Leer je team herkennen van nep-extensies: Echte extensies hebben veel downloads, goede reviews en een bekende publisher. Nep-extensies hebben vaak 0-10 downloads en vage beschrijvingen.
  8. Backup je code-repositories: Stel geautomatiseerde backups in. Dit helpt als repositories gehackt worden. Nederlandse marine lekt locatie Bluetooth-tracker: grote veiligheidsrisico geeft inzicht in beveiligde opslag.

Achtergrond: Hoe werken deze aanvallen technisch?

De Entra ID-kwetsbaarheid gebruikte een ontwerp-zwakheid in de “Agent ID Administrator”-rol. Deze rol werd geïntroduceerd voor Azure-automatisering via AI-agenten. Normaliter moeten beheerders volledige “Global Administrator”-privileges hebben om andere rollen toe te kennen. De Agent ID Administrator-rol was minder restrictief geconfigureerd, waardoor aanvallers via deze rol privileges konden uitbreiden.

Het aanvalsscenario werkte als volgt:

  1. Aanvaller krijgt toegang tot een service principal (bijvoorbeeld via een gestolen API-sleutel)
  2. Aanvaller wijst zichzelf of medeplichtigen de Agent ID Administrator-rol toe
  3. Via deze rol kunnen ze andere rollen toewijzen en so administratieve rechten opdoen
  4. Aanvaller heeft nu volledige controle over de Entra ID-omgeving

Bij VS Code-extensies werkt GlassWorm v2 als volgt:

  • De nep-extensie wordt geïnstalleerd via Open VSX (minder strenge controles dan Microsoft Marketplace)
  • Bij activatie voert de extensie verborgen JavaScript-code uit
  • Deze code scant je lokale bestanden naar SSH-sleutels, .env-bestanden met API-tokens en Git-configuraties
  • Gestolen data wordt naar aanvallersservers gestuurd
  • Aanvallers kunnen nu je repositories, clouds en servers hacken met deze credentials

Deze aanvallen zijn effectief omdat ze op vertrouwen spelen. Developers vertrouwen extensies, en bedrijven vertrouwen Azure. Het zijn precies de zwakke plekken waar aanvallers exploiteren.

Veelgestelde vragen

Heb ik Microsoft Entra ID en ben ik kwetsbaar?

Ja, waarschijnlijk. Als je Azure gebruikt, Microsoft 365 of Dynamics 365, dan gebruik je Entra ID (voorheen Azure AD). Alle organisaties met de Agent ID Administrator-rol waren kwetsbaar. Microsoft heeft een patch uitgerold, maar je moet deze handmatig toepassen. Controleer of je updates hebt ingevoerd via Azure Portal.

Wat betekent het als mijn VS Code-extensie in de nep-lijst stond?

Je SSH-sleutels, API-tokens en repository-credentials zijn mogelijk gestolen. Zet direct nieuwe SSH-sleutels op en roteer je API-tokens. Informeer je DevOps- en securityteam. Controleer git logs op repositories voor verdachte commits. Dit is een Clickfix malware voorkomen van de ergere soort omdat het developer-credentials betreft.

Moet ik al mijn extensies verwijderen en opnieuw installeren?

Niet nodig. Controleer je extensies op de officiële Microsoft VS Code Marketplace (marketplace.visualstudio.com), niet Open VSX. Zet extensies van onbekende publishers aan de kant. Voeg extensies slechts toe van developers met veel downloads en goede reviews. Microsoft Code Marketplace heeft betere controles dan Open VSX.

Kan ik dit voorkomen met een VPN of firewall?

Deels. Een goede helpt tegen enkele aanvallen, maar niet tegen code-malware die lokaal op je machine draait. Privilege escalation in je cloud kan ook niet volledig worden voorkomen met alleen netwerkbeveiliging. De combinatie van MFA, monitoring en goede access controls werkt beter.

Wat als ik al gehackt ben via VS Code?

Neem direct contact op met je securityteam. Roteer alle SSH-sleutels, API-tokens en wachtwoorden. Scan je machine met antivirus. Informeer alle services waarmee je credentials hebt gedeeld. Dit kan ernstig zijn omdat aanvallers mogelijk je hele codebase hebben overgenomen.

Conclusie

De beveiligingstrends van april 2026 tonen een patroon: aanvallers richten zich op betrouwde tools en services. Microsoft Entra ID en VS Code zijn niet per se onveilig, maar ze vereisen voortdurende alertheid. Nederlandse bedrijven moeten patches onmiddellijk toepassen, MFA afdwingen en hun IT-teams trainen in het herkennen van verdachte uitbreidingen en gedrag.

Het goede nieuws: deze aanvallen zijn grotendeels te voorkomen met basale maatregelen. Beheerders die hun Entra ID-permissies regelmatig auditen en developers die voorzichtig zijn met extensies, kunnen veel risico vermijden. Blijf alert en zorg dat je patching-processen goed zijn georganiseerd.

Bronvermelding