Il filo conduttore oggi è semplice: gli attaccanti vincono dove i difensori esternalizzano silenziosamente la fiducia, sia che quella fiducia viva in un plugin WordPress, in un pacchetto npm o in una piattaforma di collaborazione.
Top line: Tre storie contano questa mattina: una vera catena di takeover di WordPress è già sotto sfruttamento, un canale di distribuzione fidato per sviluppatori è stato avvelenato, e un cluster di spionaggio collegato alla Cina mostra ancora quanto i servizi cloud legittimi siano ottimi come copertura per le comunicazioni malevole.
Gli attaccanti stanno sfruttando attivamente CVE-2026-3844 nel plugin WordPress Breeze Cache. Il problema deriva dalla mancanza di validazione del tipo di file nella funzione fetch_gravatar_from_remote e permette a un attaccante non autenticato di caricare file arbitrari. Se è abilitato il componente “Host Files Locally - Gravatars”, questo può diventare esecuzione di codice da remoto e compromissione completa del sito. Il plugin conta oltre 400.000 installazioni attive e Wordfence ha già osservato attività di exploit.
La versione malevola 2026.4.0 del pacchetto @bitwarden/cli su npm è rimasta disponibile per una breve finestra il 22 aprile e conteneva malware progettato per rubare segreti degli sviluppatori. I ricercatori affermano che raccoglieva token npm e GitHub, chiavi SSH e credenziali cloud, poi esfiltrava i dati tramite repository GitHub controllati dagli attaccanti. Bitwarden afferma che i vault degli utenti e i sistemi di produzione non sono stati colpiti, ma ogni ambiente che ha installato quella versione va considerato compromesso.
La violazione supply chain di Checkmarx KICS ha colpito immagini Docker ed estensioni sviluppatore, mentre il report ESET su GopherWhisper descrive un cluster collegato alla Cina che usa Outlook, Slack, Discord e Microsoft Graph API per command-and-control contro obiettivi governativi. Le campagne sono diverse, ma la lezione è identica: gli attaccanti si nascondono nei normali flussi di sviluppo e collaborazione perché i difensori continuano a concedere troppa fiducia implicita.
Bottom line: In sintesi: gli attaccanti non stanno sfruttando solo bug software, stanno sfruttando la fiducia predefinita. Per questo la risposta di oggi deve includere patching, rotazione dei segreti e un controllo molto più duro sui servizi da cui i team dipendono ogni ora.
KENSAI aiuta i team a far emergere percorsi di attacco esposti tra web app, strumenti sviluppatore, identità e cloud prima che piccoli errori di fiducia diventino violazioni costose.
Scansione gratuita →Restate affilati.
🗡️ KENSAI Security Team