Nightmare Eclipse verbannen van GitHub en GitLab, belooft 14 juli aanval

De beveiligingsonderzoeker achter zes Windows zero-day onthullingen in zes weken is binnen enkele dagen na elkaar verwijderd van zowel GitHub als GitLab en opereert nu uitsluitend vanaf een persoonlijke blog. De onderzoeker, die Nightmare-Eclipse, Chaotic Eclipse en Dead Eclipse heet, heeft gereageerd met een expliciete bedreiging gericht op 14 juli, de datum van de Patch Tuesday van volgende maand.

Microsoft werd beschuldigd van het markeren en wissen van de GitHub repositories rond 23 mei 2026. De onderzoeker verhuisde naar GitLab, maar GitLab schorste het account op 26-27 mei voor het hosten van bewapende zero-day exploit code. Nu beide grote platforms voor het hosten van code gesloten zijn, publiceert de onderzoeker rechtstreeks op zijn eigen blog en heeft hij aangegeven dat de verstoring zijn plannen niet heeft veranderd.

Zes zero-days in zes weken

Sinds begin april 2026 heeft Nightmare Eclipse publiekelijk bewapende proof-of-concepts uitgebracht voor zes Windows kwetsbaarheden: BlueHammer, RedSun, UnDefend, YellowKey, Groene Plasma, en MiniPlasma. Geen van hen werd vóór publicatie via gecoördineerde kanalen bekendgemaakt. Alle zes doelcomponenten bevinden zich op of onder de beveiligingslaag van het eindpunt.

Microsoft heeft nu drie van de zes gepatcht. BlueHammer kreeg CVE-2026-33825 toegewezen en werd opgelost in de 14 april Patch Tuesday. RedSun en UnDefend werden op 21 mei out-of-band aangepakt als CVE-2026-41091 en CVE-2026-45498 nadat Huntress had bevestigd dat alle drie actief werden gebruikt bij echte aanvallen. CISA voegde ze alle drie toe aan haar catalogus met bekende geëxploiteerde kwetsbaarheden, waarbij federale instanties CVE-2026-41091 en CVE-2026-45498 vóór 3 juni moeten patchen.

YellowKey, GreenPlasma en MiniPlasma zijn op de publicatiedatum nog niet gepatcht. MiniPlasma richt zich op de Windows Cloud Filter-driver en kan een standaard gebruikersaccount escaleren naar SYSTEM op volledig gepatchte Windows 11-systemen waarop de nieuwste updates van mei 2026 worden uitgevoerd. BleepingComputer en meerdere onafhankelijke onderzoekers hebben bevestigd dat de exploit zonder wijzigingen werkt.

Wat zou 14 juli kunnen betekenen?

In een ondertekende post op https://deadeclipse666.blogspot.com/richt de onderzoeker zich rechtstreeks tot Microsoft: "Noteer deze datum, 14 juli. Ik zal ervoor zorgen dat uw botten die dag verbrijzeld worden." Ze gaven aan dat er geen nieuwe onthullingen gepland waren voor juni, hoewel ze zich het recht voorbehielden om van koers te veranderen. Eerdere berichten waarschuwden voor de intentie om te escaleren naar kwetsbaarheden voor het op afstand uitvoeren van code als Microsoft doorging met het afwijzen van hun rapporten.

Door het de-platform van zowel GitHub en GitLab verwijdert de gemakkelijkste distributiekanalen voor gecompileerde binaries en broncode, maar een persoonlijke blog met directe downloads bereikt hetzelfde resultaat voor elke onderzoeker die bereid is om het bij te houden. Beveiligingsanalisten bij Barracuda Networks hebben opgemerkt dat de exploitketen Nightmare Eclipse, die privilege-escalatie via BlueHammer, RedSun of MiniPlasma combineert met Defender-onderdrukking via UnDefend, al is gezien bij bevestigde netwerkinbraken. Het valt nog te bezien of er op 14 juli nieuw materiaal opduikt als een proof-of-concept, een remote code execution release, of iets anders. Deze onderzoeker heeft alle voorafgaande waarschuwingen gegeven voordat hij een daadwerkelijke onthulling deed.