CISA añadió tres vulnerabilidades a su catálogo Known Exploited Vulnerabilities (KEV) el 27 de mayo de 2026, confirmando que se explotan activamente enataques del mundo real.

Aunque estas vulnerabilidades afectan a diferentes tecnologías, comparten un tema común: comprometer la distribución de software de confianza y los conductos de desarrollo. A diferencia de las vulnerabilidades tradicionales dirigidas a servicios expuestos, estos problemas permiten a los atacantes distribuir código malicioso a través de canales legítimos como instaladores de software, paquetes npm y herramientas de desarrollo.

Las tres vulnerabilidades son

    • CVE-2026-8398: Daemon Tools Lite
    • CVE-2026-45321: TanStack (ecosistema npm)
    • CVE-2026-48027: Nx Console (herramientas para desarrolladores)

Estas entradas ponen de manifiesto un creciente interés por los ataques a la cadena de suministro de software dirigidos tanto a usuarios finalescomo a entornos de desarrolladores.

Componentes afectados

CVE-2026-8398: Daemon Tools Lite

Esta vulnerabilidad implicaba un ataque a la cadena de suministro que comprometía los paquetes de instalación oficiales de Daemon Tools Lite distribuidos a través del sitio web legítimo del proveedor. Los atacantes obtenían acceso a la infraestructura de compilación o distribución del proveedor e incrustaban código malicioso en los binarios firmados digitalmente.

A diferencia de las vulnerabilidades tradicionales que requieren la explotación de un servicio en ejecución, este problema representa un compromiso de la cadena de suministro de software en el que el código malicioso se incrustó en el software distribuido a los usuarios finales. Como el software parecía legítimo, es posible que los sistemas afectados hayan confiado en el instalador y lo hayan ejecutado sin activar los controles de seguridad convencionales.

CVE-2026-45321: TanStack

Esta vulnerabilidad implicaba un compromiso de la cadena de suministro dentro del ecosistema npm de TanStack. Los atacantes aprovecharon los flujos de trabajo legítimos de publicación de acciones de GitHub y la autenticación OIDC de confianza para distribuir versiones de paquetes maliciosos bajo espacios de nombres de paquetes @tanstack/* legítimos.

Los paquetes maliciosos contenían malware de robo de credenciales y podían afectar a las aplicaciones o entornos de desarrollo posteriores que instalaban las dependencias afectadas a través de los flujos de trabajo normales de gestión de paquetes.

Dado que los paquetes comprometidos se distribuían a través de canales npm de confianza y parecían legítimos, las organizaciones que utilizaban las dependencias afectadas podrían haber introducido, sin saberlo, código malicioso en entornos de desarrollo o producción.

CVE-2026-48027: Consola Nx

Esta vulnerabilidad afectaba a la cadena de suministro de Nx Console, una extensión para desarrolladores utilizada con los flujos de trabajo de Nx y Lerna. Una versión maliciosa de la extensión (18.95.0) se publicó brevemente a través de mercados oficiales, incluidos Visual Studio Marketplace y OpenVSX.

La extensión comprometida contenía código malicioso incrustado y podía exponer las estaciones de trabajo de los desarrolladores afectados a la ejecución no autorizada de código o al robo de credenciales. Dado que la extensión se distribuía a través de mercados legítimos y parecía auténtica, los desarrolladores podrían haber instalado la versión maliciosa sin saberlo a través de los flujos de trabajo normales de actualización o instalación.

Actividad de la amenaza

Las tres vulnerabilidades se han añadido al catálogo KEV, lo que indica una explotación confirmada en la naturaleza.

A diferencia de la explotación tradicional de servicios expuestos, estos ataques aprovechan mecanismos de actualización de confianza, registros de paquetes y herramientas de desarrollo para llegar a las víctimas de forma indirecta. Esto aumenta la probabilidad de compromiso incluso enentornosbien protegidos.

Qué significa esto para las organizaciones

Estas vulnerabilidades demuestran un cambio de la explotación directa al compromiso indirecto a través de fuentes de software de confianza. Las organizaciones pueden estar expuestas si

    • Descargan software de canales de distribución comprometidos
    • Utilizandependenciasde código abierto afectadasen las aplicaciones
    • Permiten herramientas de desarrollo o extensiones sin una validación estricta.
    • No mantienen visibilidad en las cadenas de suministro de software

Dado que el vector de ataque se produce en sentido ascendente, las infecciones pueden propagarse por varios sistemas antes de ser detectadas.

Medidas de mitigación recomendadas

1. Aplique inmediatamente las actualizaciones de los proveedores

Asegúrese de que todo el software afectado (Daemon Tools, dependencias de TanStack, consola Nx) se actualiza a versiones seguras o se elimina si no hay actualizaciones disponibles.

2. 2. Revise la exposición de la cadena de suministro de software

    • Identifique las dependencias mediante paquetes TanStack
    • Realice análisis de composición de software (SCA) cuando sea posible
    • Verificar la integridad de las herramientas y plugins de desarrollador instalados

3. Supervisión de indicadores de peligro

    • Acceso inesperado a credenciales o actividad de exfiltración
    • Procesos inusuales iniciados desde herramientas de desarrollo
    • Conexiones de red salientes sospechosas desde los sistemas de desarrollo.

4. Restricción del uso de fuentes de software no fiables

    • Limite las descargas desde canales no oficiales
    • Imponga requisitos de firma y verificación para el software y las extensiones
    • Controlar la instalación de plugins IDE yherramientas deterceros

Resumen de riesgos

Estas vulnerabilidades representan unriesgo de alto impactopara la cadena de suministro más que unavulnerabilidad tradicional expuesta a la red.Dado que se dirigen a mecanismos de entrega de software de confianza, su explotación puede eludir las defensas perimetrales convencionales y afectartantoa los usuarios finalescomo a los entornos de desarrollo.

Las organizaciones deben tratar estas entradas KEV como elementos de corrección prioritarios y evaluar si hay software afectado o dependencias presentes en su entorno.

Contact Us