← Torna al blog
Security Briefing4 min di lettura2026-04-24

Briefing Sicurezza, 24 aprile 2026: sfruttamento di Breeze Cache, rischio supply chain Bitwarden su npm e cloud C2 di GopherWhisper

Il filo conduttore oggi è semplice: gli attaccanti vincono dove i difensori esternalizzano silenziosamente la fiducia, sia che quella fiducia viva in un plugin WordPress, in un pacchetto npm o in una piattaforma di collaborazione.


Top line: Tre storie contano questa mattina: una vera catena di takeover di WordPress è già sotto sfruttamento, un canale di distribuzione fidato per sviluppatori è stato avvelenato, e un cluster di spionaggio collegato alla Cina mostra ancora quanto i servizi cloud legittimi siano ottimi come copertura per le comunicazioni malevole.


1. Breeze Cache apre una strada concreta al takeover di siti WordPress

Gli attaccanti stanno sfruttando attivamente CVE-2026-3844 nel plugin WordPress Breeze Cache. Il problema deriva dalla mancanza di validazione del tipo di file nella funzione fetch_gravatar_from_remote e permette a un attaccante non autenticato di caricare file arbitrari. Se è abilitato il componente “Host Files Locally - Gravatars”, questo può diventare esecuzione di codice da remoto e compromissione completa del sito. Il plugin conta oltre 400.000 installazioni attive e Wordfence ha già osservato attività di exploit.


2. La Bitwarden CLI compromessa su npm è un avviso molto più ampio sulla fiducia negli strumenti sviluppatore

La versione malevola 2026.4.0 del pacchetto @bitwarden/cli su npm è rimasta disponibile per una breve finestra il 22 aprile e conteneva malware progettato per rubare segreti degli sviluppatori. I ricercatori affermano che raccoglieva token npm e GitHub, chiavi SSH e credenziali cloud, poi esfiltrava i dati tramite repository GitHub controllati dagli attaccanti. Bitwarden afferma che i vault degli utenti e i sistemi di produzione non sono stati colpiti, ma ogni ambiente che ha installato quella versione va considerato compromesso.


3. Checkmarx e GopherWhisper dimostrano la stessa lezione: i servizi fidati sono ormai parte del mestiere offensivo

La violazione supply chain di Checkmarx KICS ha colpito immagini Docker ed estensioni sviluppatore, mentre il report ESET su GopherWhisper descrive un cluster collegato alla Cina che usa Outlook, Slack, Discord e Microsoft Graph API per command-and-control contro obiettivi governativi. Le campagne sono diverse, ma la lezione è identica: gli attaccanti si nascondono nei normali flussi di sviluppo e collaborazione perché i difensori continuano a concedere troppa fiducia implicita.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Patching immediato di Breeze Cache o disattivazione della funzione rischiosa, poi ricerca di segnali di compromissione.
  2. Se qualcuno ha installato il pacchetto malevolo Bitwarden CLI su npm, ruotare i segreti e ristabilire la fiducia partendo da sistemi puliti.
  3. Audit dell’esposizione Checkmarx e del tooling sviluppatore adiacente, soprattutto Docker pull, estensioni e runner CI.
  4. Ampliare il monitoraggio dell’abuso dei servizi cloud su Outlook, Microsoft Graph, Slack e Discord invece di affidarsi solo agli indicatori malware classici.

Fonti


Bottom line: In sintesi: gli attaccanti non stanno sfruttando solo bug software, stanno sfruttando la fiducia predefinita. Per questo la risposta di oggi deve includere patching, rotazione dei segreti e un controllo molto più duro sui servizi da cui i team dipendono ogni ora.

Trova le rotture di fiducia prima che diventino incidenti

KENSAI aiuta i team a far emergere percorsi di attacco esposti tra web app, strumenti sviluppatore, identità e cloud prima che piccoli errori di fiducia diventino violazioni costose.

Scansione gratuita →

Restate affilati.

🗡️ KENSAI Security Team