← 返回博客
Security Briefing4 分钟阅读2026-04-24

安全简报,2026年4月24日:Breeze Cache 被利用、Bitwarden npm 供应链风险与 GopherWhisper 云端 C2

今天的共同主题很简单,攻击者正在那些防守方默认外包信任的地方持续得手,不管这种信任落在 WordPress 插件、npm 包,还是协作平台上。


Top line: 今天早上有三件事值得盯紧:一个真实的 WordPress 接管路径已经在野外被利用,一个开发者信任的分发渠道被投毒,而一个与中国有关的间谍集群再次证明,合法云服务是攻击通信的绝佳掩护。


1. Breeze Cache 打开了一个正在被实战利用的 WordPress 接管入口

攻击者正在主动利用 WordPress 插件 Breeze Cache 中的 CVE-2026-3844。该问题源于 fetch_gravatar_from_remote 函数缺少文件类型校验,使未认证攻击者可以上传任意文件。如果启用了 “Host Files Locally - Gravatars” 选项,就可能进一步演变为远程代码执行和整站沦陷。该插件拥有超过 40 万活跃安装,Wordfence 已经观察到利用活动。


2. Bitwarden CLI 在 npm 上的投毒,比表面看起来更像一次开发者信任危机

npm 上的恶意 @bitwarden/cli 版本 2026.4.0 在 4 月 22 日短暂上线,内含窃取开发者秘密的恶意代码。研究人员称,它会收集 npm 和 GitHub token、SSH 密钥以及云凭证,并通过攻击者控制的 GitHub 仓库进行外传。Bitwarden 表示用户金库数据和生产系统未受影响,但任何在该窗口期安装过该版本的环境都应该被视为已被攻陷。


3. Checkmarx 事件与 GopherWhisper 说明的是同一件事,可信服务已经进入攻击者工具箱

Checkmarx KICS 供应链入侵影响了 Docker 镜像和开发者扩展,而 ESET 关于 GopherWhisper 的报告则显示,一个与中国有关的集群正在使用 Outlook、Slack、Discord 和 Microsoft Graph API 对政府目标进行指挥控制。两起事件不同,但教训相同,攻击者正躲进正常的开发和协作流程,因为防守方仍在这些系统上给予过多默认信任。


安全团队今天该做什么

  1. 立刻修补 Breeze Cache 或关闭高风险功能,然后检查是否已有入侵迹象。
  2. 如果团队中有人安装过恶意 Bitwarden CLI npm 包,立即轮换秘密并从干净系统重建信任。
  3. 审计 Checkmarx 以及相邻开发工具的暴露面,尤其是 Docker 拉取、扩展和 CI runner。
  4. 把对 Outlook、Microsoft Graph、Slack 和 Discord 的云服务滥用监控提上来,不要只盯传统恶意软件指标。

来源


Bottom line: 底线很明确,攻击者利用的不只是软件漏洞,更是默认信任。因此今天的修复必须同时包含补丁、密钥轮换,以及对团队每小时都在依赖的服务进行更严格的审视。

在信任断裂演变成事故前先把它找出来

KENSAI 帮助团队提前发现 Web 应用、开发工具、身份系统和云环境中的暴露攻击路径,避免微小的信任失误演变成高成本入侵。

免费扫描 →

保持警觉。

🗡️ KENSAI Security Team