Le 27 mai 2026, la CISA a ajouté trois vulnérabilités à son catalogue KEV (Known Exploited Vulnerabilities), confirmant qu'elles sont activement exploitées dans le cadre d'attaques réelles.
Bien que ces vulnérabilités affectent différentes technologies, elles partagent un thème commun : la compromission de la distribution de logiciels de confiance et des pipelines de développement. Contrairement aux vulnérabilités traditionnelles ciblant les services exposés, ces problèmes permettent aux attaquants de distribuer des codes malveillants par le biais de canaux légitimes tels que les installateurs de logiciels, les paquets npm et les outils de développement.
Les trois vulnérabilités sont les suivantes :
Ces entrées mettent en évidence l'attention croissante portée aux attaques de la chaîne d'approvisionnement en logiciels ciblant à la fois les utilisateurs finauxet les environnements de développement.
Composants affectés
CVE-2026-8398 : Daemon Tools Lite
Cette vulnérabilité concerne une attaque de la chaîne d'approvisionnement qui a compromis les paquets d'installation officiels de Daemon Tools Lite distribués par le site web légitime du vendeur. Les attaquants ont accédé à l'infrastructure de construction ou de distribution du fournisseur et ont intégré du code malveillant dans les binaires signés numériquement.
Contrairement aux vulnérabilités traditionnelles qui nécessitent l'exploitation d'un service en cours d'exécution, ce problème représente une compromission de la chaîne d'approvisionnement du logiciel dans laquelle le code malveillant a été intégré dans le logiciel distribué aux utilisateurs finaux. Le logiciel semblant légitime, les systèmes concernés peuvent avoir fait confiance au programme d'installation et l'avoir exécuté sans déclencher les contrôles de sécurité classiques.
CVE-2026-45321: TanStack
Cette vulnérabilité implique une compromission de la chaîne d'approvisionnement dans l'écosystème npm de TanStack. Les attaquants ont utilisé les flux de publication d'actions GitHub légitimes et l'authentification OIDC pour distribuer des versions de paquets malveillants sous les espaces de noms de paquets @tanstack/* légitimes.
Les paquets malveillants contenaient des logiciels malveillants de vol d'informations d'identification et pouvaient avoir un impact sur les applications en aval ou les environnements de développement qui installaient les dépendances affectées par le biais de flux de travail normaux de gestion des paquets.
Comme les paquets compromis étaient distribués par des canaux npm de confiance et semblaient légitimes, les organisations utilisant les dépendances affectées peuvent avoir introduit à leur insu du code malveillant dans les environnements de développement ou de production.
CVE-2026-48027: Console Nx
Cette vulnérabilité implique une compromission de la chaîne d'approvisionnement de Nx Console, une extension pour développeurs utilisée avec les flux de travail Nx et Lerna. Une version malveillante de l'extension (18.95.0) a été brièvement publiée sur des places de marché officielles, notamment Visual Studio Marketplace et OpenVSX.
L'extension compromise contenait un code malveillant intégré et pouvait exposer les postes de travail des développeurs concernés à une exécution de code non autorisée ou à un vol d'informations d'identification. L'extension ayant été distribuée sur des places de marché légitimes et paraissant authentique, les développeurs ont pu installer la version malveillante à leur insu dans le cadre de processus normaux de mise à jour ou d'installation.
Activité de la menace
Les trois vulnérabilités ont été ajoutées au catalogue KEV, ce qui indique une exploitation confirmée dans la nature.
Contrairement à l'exploitation traditionnelle des services exposés, ces attaques s'appuient sur des mécanismes de mise à jour fiables, des registres de paquets et des outils de développement pour atteindre indirectement les victimes. Cela augmente la probabilité de compromission, même dans desenvironnementspar ailleurs bien sécurisés.
Ce que cela signifie pour les organisations
Ces vulnérabilités démontrent un passage de l'exploitation directe à la compromission indirecte via des sources logicielles fiables. Les organisations peuvent être exposées si elles
Le vecteur d'attaque se situant en amont, les infections peuvent se propager sur plusieurs systèmes avant d'être détectées.
Mesures d'atténuation recommandées
1. Appliquer immédiatement les mises à jour de l'éditeur
S'assurer que tous les logiciels concernés (Daemon Tools, dépendances TanStack, Nx Console) sont mis à jour vers des versions sécurisées ou supprimés si les mises à jour ne sont pas disponibles.
2. Examiner l'exposition de la chaîne d'approvisionnement des logiciels
3. Surveiller les indicateurs de compromission
4. Limiter l'utilisation de sources logicielles non fiables
Résumé des risques
Ces vulnérabilités représentent unrisque à fort impactpour la chaîne d'approvisionnement plutôt qu'unevulnérabilité traditionnelle exposée au réseau.Parce qu'elles ciblent des mécanismes de livraison de logiciels fiables, leur exploitation peut contourner les défenses périmétriques conventionnelles et avoir un impact à la fois sur les utilisateurs finauxet sur les environnements de développement.
Les organisations doivent traiter ces entrées KEV comme des éléments de remédiation prioritaires et évaluer si des logiciels affectés ou des dépendances sont présents dans leur environnement.