← Terug naar blog
Security Briefing4 min leestijd2026-04-24

Security Briefing, 24 april 2026: Breeze Cache-exploitatie, Bitwarden-npm-supply-chain-risico en GopherWhisper-cloud-C2

De rode draad vandaag is simpel: aanvallers winnen waar verdedigers vertrouwen stilzwijgend uitbesteden, of dat vertrouwen nu in een WordPress-plugin, een npm-pakket of een samenwerkingsplatform zit.


Top line: Drie verhalen tellen vanmorgen: een echte WordPress-overnameketen wordt al actief uitgebuit, een vertrouwd distributiekanaal voor developers is vergiftigd, en een aan China gelinkte spionagecluster laat opnieuw zien hoe bruikbaar legitieme clouddiensten zijn als dekmantel voor aanvallers.


1. Breeze Cache opent een live pad naar WordPress-overname

Aanvallers misbruiken actief CVE-2026-3844 in de WordPress-plugin Breeze Cache. Het probleem komt door ontbrekende validatie van bestandstypen in de functie fetch_gravatar_from_remote en laat een niet-geauthenticeerde aanvaller willekeurige bestanden uploaden. Als de optie “Host Files Locally - Gravatars” is ingeschakeld, kan dat leiden tot remote code execution en volledige sitecompromittering. De plugin heeft meer dan 400.000 actieve installaties en Wordfence ziet al exploitatieactiviteit.


2. De gecompromitteerde Bitwarden CLI op npm is een veel groter waarschuwingssignaal voor ontwikkelaarsvertrouwen

De kwaadaardige npm-versie 2026.4.0 van @bitwarden/cli was op 22 april kort beschikbaar en bevatte malware die ontwikkelaarssecrets moest stelen. Onderzoekers zeggen dat het npm- en GitHub-tokens, SSH-sleutels en cloudreferenties verzamelde en vervolgens data exfiltreerde via door aanvallers gecontroleerde GitHub-repositories. Bitwarden zegt dat kluisdata en productiesystemen niet geraakt zijn, maar elke omgeving die deze versie installeerde moet als gecompromitteerd worden behandeld.


3. Checkmarx en GopherWhisper bewijzen dezelfde les: vertrouwde diensten horen nu bij het aanvallershandboek

De Checkmarx KICS-supply-chaininbreuk trof Docker-images en ontwikkelaarsextensies, terwijl ESETs rapport over GopherWhisper een aan China gelinkte cluster beschrijft die Outlook, Slack, Discord en Microsoft Graph API gebruikt voor command-and-control tegen overheidsdoelen. Het zijn verschillende campagnes, maar de les is identiek: aanvallers verstoppen zich in normale ontwikkel- en samenwerkingsstromen omdat verdedigers daar nog steeds te veel impliciet vertrouwen geven.


Wat securityteams vandaag moeten doen

  1. Patch Breeze Cache of schakel de risicovolle functie direct uit en controleer daarna op compromissporen.
  2. Als iemand het kwaadaardige Bitwarden CLI npm-pakket installeerde, roteer secrets en herstel vertrouwen vanaf schone systemen.
  3. Audit Checkmarx en aangrenzende developer tooling, vooral Docker-pulls, extensies en CI-runners.
  4. Breid monitoring op misbruik van clouddiensten uit over Outlook, Microsoft Graph, Slack en Discord in plaats van alleen klassieke malware-indicatoren te volgen.

Bronnen


Bottom line: Kort gezegd: aanvallers misbruiken niet alleen softwarefouten, maar ook standaardvertrouwen. Daarom moeten de acties van vandaag patching, secretrotatie en veel harder toezicht op de diensten omvatten waar teams elk uur op leunen.

Vind de vertrouwensbreuken voordat ze incidenten worden

KENSAI helpt teams blootgestelde aanvalspaden in webapps, developer tooling, identiteit en cloudsysteem zichtbaar te maken voordat kleine vertrouwensfouten uitgroeien tot dure inbreuken.

Gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team