De rode draad vandaag is simpel: aanvallers winnen waar verdedigers vertrouwen stilzwijgend uitbesteden, of dat vertrouwen nu in een WordPress-plugin, een npm-pakket of een samenwerkingsplatform zit.
Top line: Drie verhalen tellen vanmorgen: een echte WordPress-overnameketen wordt al actief uitgebuit, een vertrouwd distributiekanaal voor developers is vergiftigd, en een aan China gelinkte spionagecluster laat opnieuw zien hoe bruikbaar legitieme clouddiensten zijn als dekmantel voor aanvallers.
Aanvallers misbruiken actief CVE-2026-3844 in de WordPress-plugin Breeze Cache. Het probleem komt door ontbrekende validatie van bestandstypen in de functie fetch_gravatar_from_remote en laat een niet-geauthenticeerde aanvaller willekeurige bestanden uploaden. Als de optie “Host Files Locally - Gravatars” is ingeschakeld, kan dat leiden tot remote code execution en volledige sitecompromittering. De plugin heeft meer dan 400.000 actieve installaties en Wordfence ziet al exploitatieactiviteit.
De kwaadaardige npm-versie 2026.4.0 van @bitwarden/cli was op 22 april kort beschikbaar en bevatte malware die ontwikkelaarssecrets moest stelen. Onderzoekers zeggen dat het npm- en GitHub-tokens, SSH-sleutels en cloudreferenties verzamelde en vervolgens data exfiltreerde via door aanvallers gecontroleerde GitHub-repositories. Bitwarden zegt dat kluisdata en productiesystemen niet geraakt zijn, maar elke omgeving die deze versie installeerde moet als gecompromitteerd worden behandeld.
De Checkmarx KICS-supply-chaininbreuk trof Docker-images en ontwikkelaarsextensies, terwijl ESETs rapport over GopherWhisper een aan China gelinkte cluster beschrijft die Outlook, Slack, Discord en Microsoft Graph API gebruikt voor command-and-control tegen overheidsdoelen. Het zijn verschillende campagnes, maar de les is identiek: aanvallers verstoppen zich in normale ontwikkel- en samenwerkingsstromen omdat verdedigers daar nog steeds te veel impliciet vertrouwen geven.
Bottom line: Kort gezegd: aanvallers misbruiken niet alleen softwarefouten, maar ook standaardvertrouwen. Daarom moeten de acties van vandaag patching, secretrotatie en veel harder toezicht op de diensten omvatten waar teams elk uur op leunen.
KENSAI helpt teams blootgestelde aanvalspaden in webapps, developer tooling, identiteit en cloudsysteem zichtbaar te maken voordat kleine vertrouwensfouten uitgroeien tot dure inbreuken.
Gratis scan →Blijf scherp.
🗡️ KENSAI Security Team