Beveiligingsonderzoekers melden deze week een nieuwe familie crypto‑malware die AI‑hulpen voor developers misbruikt. Het gaat om code-assistenten en extensies in ontwikkelomgevingen, zoals GitHub Copilot (Microsoft), ChatGPT (OpenAI) en JetBrains AI Assistant. Aanvallers richten zich op laptops en CI/CD‑servers om rekenkracht en toegangssleutels te kapen. Dit is relevant voor Nederlandse organisaties en overheden, ook door de Europese AI‑verordening en NIS2, en raakt direct aan “Europese AI-verordening gevolgen overheid”.
Malware misbruikt ontwikkel-AI
De nieuwe malware nestelt zich in de omgeving waar AI‑tools developers helpen met code. Zo’n AI‑tool is een systeem dat automatisch codevoorstellen doet of tests schrijft. Omdat deze hulpen vaak ruime rechten hebben, kan de malware daarmee bestanden lezen, scripts starten en netwerkverkeer openen. Het risico groeit als API‑sleutels of tokens lokaal zijn opgeslagen.
Aanvallers gebruiken sociale techniek en misleidende prompts om gebruikers extensies te installeren. Een extensie is een kleine toevoeging aan een editor, bijvoorbeeld Visual Studio Code. De malware draait daarna stilletjes een cryptominer of steelt wallet‑gegevens. Ook kan de aanvaller wachten op een CI/CD‑build om toegang te krijgen tot productiegeheimen.
De tools zelf, zoals GitHub Copilot, ChatGPT en JetBrains AI Assistant, zijn niet per se gehackt. Het misbruik zit in de schil eromheen: plug-ins, configuraties en lokale scripts. Deze onderdelen hebben vaak minder toezicht en minder logging. Daardoor zien teams verdachte acties pas laat.
Crypto‑malware is kwaadaardige software die cryptovaluta minet of steelt door rekenkracht of privésleutels te kapen.
Verspreiding via pakketketen
De verspreiding verloopt vaak via de software‑keten. Dat heet een supply‑chain‑aanval: kwaadwillenden stoppen schadelijke code in een pakket of extensie dat ontwikkelaars vertrouwen. Denk aan nep‑pakketten in npm of PyPI, of een nagemaakte VS Code‑extensie met een bekende naam. Eén onschuldig lijkende update kan zo honderden projecten raken.
Een tweede route is misbruik van installatiescripts. Tijdens een ‘npm install’ of ‘pip install’ draait soms extra code. De malware gebruikt dat moment om een miner te plaatsen of een achterdeur te openen. Omdat dit in de ontwikkelfase gebeurt, is detectie door productiebeveiliging vaak te laat.
Tot slot zien onderzoekers misleiding via AI‑gegenereerde antwoorden. Een model kan onbedoeld een onveilige commandoregel adviseren. Wie die zonder controle kopieert, voert schadelijke code uit. Richtlijnen en tooling voor “copy‑paste met beleid” zijn daarom essentieel.
Europese regels raken dit direct
Voor organisaties in Nederland tellen meerdere kaders mee. De AVG eist dat persoonsgegevens minimaal worden verwerkt en goed worden versleuteld. Lekkende repositories of build‑logs met klantdata vallen daaronder. Ook toegangssleutels zijn gevoelig, want ze geven indirect toegang tot data.
De AI‑verordening (AI Act) zet op het moment van schrijven eisen op general‑purpose AI, waar code‑assistenten onder kunnen vallen. Leveranciers moeten transparantie en cybersecurity‑maatregelen aantonen. Gebruikersorganisaties blijven verantwoordelijk voor veilig inbedden in hun processen. Onvoldoende risicobeheersing kan straks boetes opleveren.
NIS2 verplicht middelgrote en grote organisaties in vitale sectoren tot strengere beveiliging en incidentmelding. Software‑ketenrisico’s en ontwikkelomgevingen vallen expliciet in scope. Nederlandse implementatie vergt beleid voor patchen, logging en leveranciersbeheer. Crypto‑malware in ontwikkeltools is dus niet alleen een IT‑probleem, maar ook een compliance‑kwestie.
Beperk rechten van AI-tools
Begin met het beperken van machtigingen van AI‑extensies. Geef alleen toegang tot mappen en netwerken die echt nodig zijn. Zet uitgaande verbindingen van ontwikkelmachines op allow‑list. Gebruik aparte, kortlevende API‑sleutels zonder schrijfrechten naar productie.
Schakel telemetrie en logging in voor editors en extensies. Zo valt afwijkend gedrag op, zoals onverwachte downloads of CPU‑pieken door minen. Endpoint‑beveiliging (EDR) helpt processen te stoppen die stiekem rekenkracht gebruiken. Combineer dit met secret‑scanning om gelekte sleutels snel te roteren.
Controleer ook de instellingen van enterprise‑versies van AI‑diensten. ChatGPT Enterprise en GitHub Copilot for Business bieden dataminimalisatie en beheerdersopties. Zet modeltraining met bedrijfsdata uit als dat mogelijk is. Leg ontwikkelaars uit wat veilige prompt‑patronen zijn en waarom broncode niet zomaar gedeeld mag worden.
Richt veilige ontwikkelstraat in
Voer strenge broncontrole op pakketten. Maak gebruik van private registries, gesigneerde artefacten en hash‑pinning. Sta alleen goedgekeurde uitgevers toe in de VS Code‑ of JetBrains‑marktplaats. Verifieer elke update in een geïsoleerde omgeving vóór uitrol.
Integreer software‑compositie‑analyse (SCA) en statische analyse in de CI/CD‑pijplijn. Deze tools controleren op bekende kwetsbaarheden en verdachte scripts. Een build mag niet slagen als kritieke risico’s blijven staan. Documenteer uitzonderingen en voer tijdig updates door.
Zet ontwikkelomgevingen op als ‘ephemeral’ containers of virtuele machines. Na elke sessie verdwijnt de omgeving, inclusief tijdelijke sleutels. Dat beperkt blijvende infecties door malware. Combineer dit met minimale rechten in broncodeplatforms zoals GitHub of GitLab.
Onderzoek en dreiging blijven
Op het moment van schrijven analyseren meerdere securityteams de kampagne en delen zij indicatoren van compromis (IOC’s). Nieuwe varianten passen zich snel aan, bijvoorbeeld door andere pakketnamen of commando‑servers. Organisaties moeten daarom continue monitoring inzetten. Snelle detectie en respons verkleinen de schade.
Europese instanties zoals ENISA en het NCSC‑NL publiceren regelmatig richtlijnen voor supply‑chain‑beveiliging. Het loont om die adviezen te volgen en aan te vullen met eigen dreigingsmodellen. Vergeet de juridische kant niet: meldplicht bij ernstige incidenten kan gelden onder NIS2. Een goed geoefend incidentproces bespaart tijd en kosten.
De kern blijft helder: AI‑hulpen versnellen softwareontwikkeling, maar vergroten ook het aanvalsoppervlak. Door toestemmingen te beperken, ketens te controleren en logs te bewaken, daalt het risico. Zo blijft de belofte van slimme tools overeind, zonder de poort voor crypto‑malware open te zetten.
