CISA añadió tres vulnerabilidades a su catálogo Known Exploited Vulnerabilities (KEV) el 27 de mayo de 2026, confirmando que se explotan activamente enataques del mundo real.
Aunque estas vulnerabilidades afectan a diferentes tecnologías, comparten un tema común: comprometer la distribución de software de confianza y los conductos de desarrollo. A diferencia de las vulnerabilidades tradicionales dirigidas a servicios expuestos, estos problemas permiten a los atacantes distribuir código malicioso a través de canales legítimos como instaladores de software, paquetes npm y herramientas de desarrollo.
Las tres vulnerabilidades son
Estas entradas ponen de manifiesto un creciente interés por los ataques a la cadena de suministro de software dirigidos tanto a usuarios finalescomo a entornos de desarrolladores.
Componentes afectados
CVE-2026-8398: Daemon Tools Lite
Esta vulnerabilidad implicaba un ataque a la cadena de suministro que comprometía los paquetes de instalación oficiales de Daemon Tools Lite distribuidos a través del sitio web legítimo del proveedor. Los atacantes obtenían acceso a la infraestructura de compilación o distribución del proveedor e incrustaban código malicioso en los binarios firmados digitalmente.
A diferencia de las vulnerabilidades tradicionales que requieren la explotación de un servicio en ejecución, este problema representa un compromiso de la cadena de suministro de software en el que el código malicioso se incrustó en el software distribuido a los usuarios finales. Como el software parecía legítimo, es posible que los sistemas afectados hayan confiado en el instalador y lo hayan ejecutado sin activar los controles de seguridad convencionales.
CVE-2026-45321: TanStack
Esta vulnerabilidad implicaba un compromiso de la cadena de suministro dentro del ecosistema npm de TanStack. Los atacantes aprovecharon los flujos de trabajo legítimos de publicación de acciones de GitHub y la autenticación OIDC de confianza para distribuir versiones de paquetes maliciosos bajo espacios de nombres de paquetes @tanstack/* legítimos.
Los paquetes maliciosos contenían malware de robo de credenciales y podían afectar a las aplicaciones o entornos de desarrollo posteriores que instalaban las dependencias afectadas a través de los flujos de trabajo normales de gestión de paquetes.
Dado que los paquetes comprometidos se distribuían a través de canales npm de confianza y parecían legítimos, las organizaciones que utilizaban las dependencias afectadas podrían haber introducido, sin saberlo, código malicioso en entornos de desarrollo o producción.
CVE-2026-48027: Consola Nx
Esta vulnerabilidad afectaba a la cadena de suministro de Nx Console, una extensión para desarrolladores utilizada con los flujos de trabajo de Nx y Lerna. Una versión maliciosa de la extensión (18.95.0) se publicó brevemente a través de mercados oficiales, incluidos Visual Studio Marketplace y OpenVSX.
La extensión comprometida contenía código malicioso incrustado y podía exponer las estaciones de trabajo de los desarrolladores afectados a la ejecución no autorizada de código o al robo de credenciales. Dado que la extensión se distribuía a través de mercados legítimos y parecía auténtica, los desarrolladores podrían haber instalado la versión maliciosa sin saberlo a través de los flujos de trabajo normales de actualización o instalación.
Actividad de la amenaza
Las tres vulnerabilidades se han añadido al catálogo KEV, lo que indica una explotación confirmada en la naturaleza.
A diferencia de la explotación tradicional de servicios expuestos, estos ataques aprovechan mecanismos de actualización de confianza, registros de paquetes y herramientas de desarrollo para llegar a las víctimas de forma indirecta. Esto aumenta la probabilidad de compromiso incluso enentornosbien protegidos.
Qué significa esto para las organizaciones
Estas vulnerabilidades demuestran un cambio de la explotación directa al compromiso indirecto a través de fuentes de software de confianza. Las organizaciones pueden estar expuestas si
Dado que el vector de ataque se produce en sentido ascendente, las infecciones pueden propagarse por varios sistemas antes de ser detectadas.
Medidas de mitigación recomendadas
1. Aplique inmediatamente las actualizaciones de los proveedores
Asegúrese de que todo el software afectado (Daemon Tools, dependencias de TanStack, consola Nx) se actualiza a versiones seguras o se elimina si no hay actualizaciones disponibles.
2. 2. Revise la exposición de la cadena de suministro de software
3. Supervisión de indicadores de peligro
4. Restricción del uso de fuentes de software no fiables
Resumen de riesgos
Estas vulnerabilidades representan unriesgo de alto impactopara la cadena de suministro más que unavulnerabilidad tradicional expuesta a la red.Dado que se dirigen a mecanismos de entrega de software de confianza, su explotación puede eludir las defensas perimetrales convencionales y afectartantoa los usuarios finalescomo a los entornos de desarrollo.
Las organizaciones deben tratar estas entradas KEV como elementos de corrección prioritarios y evaluar si hay software afectado o dependencias presentes en su entorno.