Il 27 maggio 2026 il CISA ha aggiunto tre vulnerabilità al suo catalogo Known Exploited Vulnerabilities (KEV), confermando che sono attivamente sfruttate inattacchi reali.

Sebbene queste vulnerabilità riguardino tecnologie diverse, condividono un tema comune: la compromissione della distribuzione e delle pipeline di sviluppo di software affidabili. A differenza delle vulnerabilità tradizionali che colpiscono i servizi esposti, questi problemi consentono agli aggressori di distribuire codice dannoso attraverso canali legittimi come installatori di software, pacchetti npm e strumenti di sviluppo.

Le tre vulnerabilità sono:

• CVE-2026-8398: Strumenti Daemon Lite
• CVE-2026-45321: TanStack (ecosistema npm)
• CVE-2026-48027: Nx Console (tooling per sviluppatori)

Queste voci evidenziano una crescente attenzione per gli attacchi alla catena di fornitura del software rivolti sia agli utenti finaliche agli ambienti degli sviluppatori.

Componenti interessati

CVE-2026-8398: Daemon Tools Lite

Questa vulnerabilità riguarda un attacco alla supply chain che ha compromesso i pacchetti di installazione ufficiali di Daemon Tools Lite distribuiti attraverso il sito web legittimo del fornitore. Gli aggressori hanno ottenuto l'accesso all'infrastruttura di creazione o distribuzione del fornitore e hanno incorporato codice dannoso nei file binari firmati digitalmente.

A differenza delle vulnerabilità tradizionali che richiedono lo sfruttamento di un servizio in esecuzione, questo problema rappresenta una compromissione della catena di fornitura del software in cui il codice dannoso è stato incorporato nel software distribuito agli utenti finali. Poiché il software appariva legittimo, i sistemi interessati potrebbero aver creduto ed eseguito il programma di installazione senza attivare i controlli di sicurezza convenzionali.

CVE-2026-45321: TanStack

Questa vulnerabilità riguarda una compromissione della catena di approvvigionamento all'interno dell'ecosistema TanStack npm. Gli aggressori hanno sfruttato i flussi di lavoro legittimi di pubblicazione delle azioni GitHub e l'autenticazione OIDC fidata per distribuire versioni di pacchetti dannosi sotto gli spazi dei nomi legittimi dei pacchetti @tanstack/*.

I pacchetti dannosi contenevano malware che rubavano le credenziali e potevano avere un impatto sulle applicazioni a valle o sugli ambienti degli sviluppatori che installavano le dipendenze interessate attraverso i normali flussi di gestione dei pacchetti.

Poiché i pacchetti compromessi erano distribuiti attraverso canali npm affidabili e apparivano legittimi, le organizzazioni che utilizzano le dipendenze interessate potrebbero aver introdotto inconsapevolmente codice dannoso negli ambienti di sviluppo o di produzione.

CVE-2026-48027: Nx Console

Questa vulnerabilità riguarda una compromissione della catena di approvvigionamento di Nx Console, un'estensione per sviluppatori utilizzata con i flussi di lavoro Nx e Lerna. Una versione dannosa dell'estensione (18.95.0) è stata brevemente pubblicata attraverso i marketplace ufficiali, tra cui Visual Studio Marketplace e OpenVSX.

L'estensione compromessa conteneva codice maligno incorporato e poteva esporre le workstation degli sviluppatori interessati all'esecuzione di codice non autorizzato o al furto di credenziali. Poiché l'estensione è stata distribuita attraverso mercati legittimi e sembrava autentica, gli sviluppatori potrebbero aver installato inconsapevolmente la versione dannosa attraverso i normali flussi di aggiornamento o installazione.

Attività della minaccia

Tutte e tre le vulnerabilità sono state aggiunte al catalogo KEV, indicando uno sfruttamento confermato in natura.

A differenza dello sfruttamento tradizionale dei servizi esposti, questi attacchi sfruttano meccanismi di aggiornamento affidabili, registri di pacchetti e strumenti di sviluppo per raggiungere indirettamente le vittime. Questo aumenta la probabilità di compromissione anche inambientialtrimenti ben protetti.

Cosa significa per le organizzazioni

Queste vulnerabilità dimostrano il passaggio dallo sfruttamento diretto alla compromissione indiretta attraverso fonti software affidabili. Le organizzazioni possono essere esposte se:

• scaricano software da canali di distribuzione compromessi
• Utilizzanodipendenzeopen-source compromessenelle applicazioni
• Consentono l'uso di strumenti o estensioni per sviluppatori senza una rigorosa convalida.
• Non mantengono la visibilità sulle catene di fornitura del software

Poiché il vettore di attacco avviene a monte, le infezioni possono propagarsi su più sistemi prima di essere rilevate.

Passi di mitigazione consigliati

1. Applicare immediatamente gli aggiornamenti del fornitore

Assicurarsi che tutto il software interessato (Daemon Tools, dipendenze TanStack, Nx Console) sia aggiornato alle versioni sicure o rimosso se gli aggiornamenti non sono disponibili.

2. Esaminare l'esposizione della catena di fornitura del software

• Identificare le dipendenze utilizzando i pacchetti TanStack.
• Eseguire l'analisi della composizione del software (SCA), ove possibile.
• Verificare l'integrità degli strumenti e dei plugin per sviluppatori installati.

3. Monitoraggio degli indicatori di compromissione

• Accesso alle credenziali o attività di esfiltrazione inaspettate
• Processi insoliti avviati dagli strumenti di sviluppo
• Connessioni di rete sospette in uscita dai sistemi degli sviluppatori.

4. Limitare l'uso di fonti di software non attendibili

• Limitare i download da canali non ufficiali
• Applicare i requisiti di firma e verifica per il software e le estensioni.
• Controllare l'installazione di plugin IDE estrumenti di terze parti

Riassunto del rischio

Queste vulnerabilità rappresentano unrischio di catena di approvvigionamento ad alto impatto piuttosto che unavulnerabilità tradizionale esposta alla rete.Poiché prendono di mira meccanismi di distribuzione del software affidabili, lo sfruttamento può aggirare le difese perimetrali convenzionali e avere un impatto sia sugli utenti finaliche sugli ambienti di sviluppo.

Le organizzazioni devono considerare queste voci KEV come elementi di rimedio prioritari e valutare se il software o le dipendenze interessate sono presenti nel loro ambiente.