今日の共通テーマは単純です。防御側が信頼を静かに外部委譲した場所, つまり WordPress プラグイン、npm パッケージ、コラボレーション基盤のような場所で、攻撃者は勝ち続けています。
Top line: 今朝見るべき話は3つです。実際に使われている WordPress 乗っ取り経路、汚染された信頼済みの開発者配布経路、そして正規クラウドサービスが攻撃通信の隠れみのになることを改めて示す中国系スパイクラスターです。
攻撃者は WordPress プラグイン Breeze Cache の CVE-2026-3844 を積極的に悪用しています。原因は fetch_gravatar_from_remote 関数におけるファイルタイプ検証不足で、未認証の攻撃者が任意ファイルをアップロードできます。もし “Host Files Locally - Gravatars” が有効なら、これがリモートコード実行とサイト全体の侵害に発展します。プラグインは 40 万以上のアクティブインストールがあり、Wordfence はすでに悪用を観測しています。
npm の @bitwarden/cli 悪性バージョン 2026.4.0 は 4 月 22 日に短時間公開され、開発者シークレットを盗むマルウェアを含んでいました。研究者によれば、npm と GitHub のトークン、SSH キー、クラウド認証情報を収集し、攻撃者管理の GitHub リポジトリ経由で外部送信していました。Bitwarden は vault データと本番環境には影響がないとしていますが、その期間にインストールした環境は侵害済みとして扱うべきです。
Checkmarx KICS のサプライチェーン侵害は Docker イメージと開発者拡張機能に影響し、一方 ESET の GopherWhisper レポートは、中国系クラスターが Outlook、Slack、Discord、Microsoft Graph API を政府標的への C2 に使っていることを示しています。キャンペーンは別でも教訓は同じです。防御側がそこに暗黙の信頼を置きすぎているため、攻撃者は通常の開発とコラボレーションの流れの中に隠れています。
Bottom line: 要点は明快です。攻撃者はソフトウェアのバグだけでなく、デフォルトの信頼そのものを悪用しています。だから今日の対応には、パッチ、シークレットローテーション、そして毎時間使っているサービスへのもっと厳しい監視が必要です。
KENSAI は、Web アプリ、開発者ツール、ID、クラウドにまたがる露出攻撃経路を可視化し、小さな信頼のほころびが高価な侵害になる前に発見できるよう支援します。
無料スキャン →油断なく。
🗡️ KENSAI Security Team