O fio condutor de hoje é simples: atacantes vencem onde defensores terceirizam confiança em silêncio, seja em um plugin WordPress, um pacote npm ou uma plataforma de colaboração.
Top line: Três histórias importam nesta manhã: uma rota real de tomada de controle de WordPress já está sendo explorada, um canal confiável de distribuição para desenvolvedores foi envenenado, e um cluster de espionagem ligado à China mostra mais uma vez como serviços legítimos de nuvem servem de cobertura para comunicações maliciosas.
Atacantes estão explorando ativamente o CVE-2026-3844 no plugin Breeze Cache do WordPress. A falha vem da ausência de validação de tipo de arquivo na função fetch_gravatar_from_remote e permite que um atacante não autenticado envie arquivos arbitrários. Se o complemento “Host Files Locally - Gravatars” estiver habilitado, isso pode virar execução remota de código e comprometimento total do site. O plugin tem mais de 400 mil instalações ativas e o Wordfence já observou atividade de exploração.
A versão maliciosa 2026.4.0 do pacote @bitwarden/cli no npm ficou disponível por uma janela curta em 22 de abril e continha malware para roubar segredos de desenvolvedores. Pesquisadores afirmam que ela coletava tokens npm e GitHub, chaves SSH e credenciais de nuvem, e depois exfiltrava os dados por repositórios GitHub controlados por atacantes. A Bitwarden diz que dados de cofres e sistemas de produção não foram impactados, mas qualquer ambiente que tenha instalado essa versão deve ser tratado como comprometido.
A violação supply chain do Checkmarx KICS atingiu imagens Docker e extensões de desenvolvimento, enquanto o relatório da ESET sobre GopherWhisper mostra um cluster ligado à China usando Outlook, Slack, Discord e Microsoft Graph API para comando e controle contra alvos governamentais. São campanhas diferentes, mas a lição é igual: atacantes estão se escondendo nos fluxos normais de desenvolvimento e colaboração porque defensores ainda concedem confiança implícita demais nesses serviços.
Bottom line: Resumo final: os atacantes não estão explorando apenas bugs de software, estão explorando confiança padrão. Por isso a resposta de hoje precisa incluir patching, rotação de segredos e um escrutínio muito mais duro sobre os serviços dos quais as equipes dependem o tempo todo.
A KENSAI ajuda equipes a expor caminhos de ataque em aplicações web, tooling de desenvolvimento, identidade e sistemas em nuvem antes que pequenas falhas de confiança virem violações caras.
Scan grátis →Fique atento.
🗡️ KENSAI Security Team