Der gemeinsame Nenner heute ist simpel: Angreifer gewinnen dort, wo Verteidiger Vertrauen stillschweigend auslagern, egal ob dieses Vertrauen in einem WordPress-Plugin, einem npm-Paket oder einer Kollaborationsplattform steckt.
Top line: Heute Morgen zählen drei Geschichten: ein realer WordPress-Übernahmepfad wird bereits aktiv ausgenutzt, ein vertrauenswürdiger Entwickler-Distributionskanal wurde vergiftet, und ein China-naher Spionage-Cluster zeigt erneut, wie gut sich legitime Cloud-Dienste als Tarnung für Angreifer eignen.
Angreifer nutzen CVE-2026-3844 im WordPress-Plugin Breeze Cache bereits aktiv aus. Die Schwachstelle entsteht durch fehlende Dateityp-Prüfung in der Funktion fetch_gravatar_from_remote und erlaubt einem nicht authentifizierten Angreifer das Hochladen beliebiger Dateien. Wenn das Add-on „Host Files Locally - Gravatars“ aktiviert ist, kann daraus Remote Code Execution und eine vollständige Übernahme der Website werden. Das Plugin läuft auf mehr als 400.000 Installationen und Wordfence beobachtet bereits Ausnutzung.
Die bösartige npm-Version 2026.4.0 von @bitwarden/cli war am 22. April für ein kurzes Zeitfenster verfügbar und enthielt Malware zum Diebstahl von Entwickler-Secrets. Forscher berichten über das Sammeln von npm- und GitHub-Tokens, SSH-Schlüsseln und Cloud-Zugangsdaten sowie Exfiltration über angreiferkontrollierte GitHub-Repositories. Bitwarden sagt, dass Vault-Daten und Produktionssysteme nicht betroffen waren, aber jede Umgebung mit Installation innerhalb des Fensters sollte als kompromittiert gelten.
Der Lieferkettenvorfall rund um Checkmarx KICS traf Docker-Images und Entwickler-Erweiterungen, während ESETs Bericht zu GopherWhisper einen China-nahen Cluster zeigt, der Outlook, Slack, Discord und Microsoft Graph API als Command-and-Control gegen Regierungsziele nutzt. Es sind unterschiedliche Kampagnen, aber die Lektion ist identisch: Angreifer verstecken sich in normalen Entwickler- und Kollaborationsabläufen, weil Verteidiger dort immer noch zu viel implizites Vertrauen vergeben.
Bottom line: Fazit: Angreifer nutzen nicht nur Softwarefehler aus, sondern Standardvertrauen. Genau deshalb müssen die heutigen Maßnahmen Patching, Secret-Rotation und deutlich härtere Prüfung der Dienste einschließen, auf die sich Teams stündlich verlassen.
KENSAI hilft Teams, exponierte Angriffspfade über Webanwendungen, Entwickler-Tooling, Identität und Cloud-Systeme sichtbar zu machen, bevor kleine Vertrauensfehler zu teuren Sicherheitsvorfällen werden.
Kostenloser Scan →Bleibt wachsam.
🗡️ KENSAI Security Team