CISA lade till tre sårbarheter i sin KEV-katalog (Known Exploited Vulnerabilities) den 27 maj 2026 och bekräftade därmed att de utnyttjas aktivt i verkligaattacker.
Även om dessa sårbarheter påverkar olika tekniker har de ett gemensamt tema: äventyrande av betrodda distributions- och utvecklingskedjor för programvara. Till skillnad från traditionella sårbarheter som riktar sig mot exponerade tjänster gör dessa problem det möjligt för angripare att distribuera skadlig kod via legitima kanaler som programvaruinstallatörer, npm-paket och utvecklingsverktyg.
De tre sårbarheterna är:
Dessa poster belyser ett ökande fokus på attacker i programvaruförsörjningskedjan som riktar sig mot både slutanvändareoch utvecklarmiljöer.
Berörda komponenter
CVE-2026-8398: Daemon Tools Lite
Denna sårbarhet involverade en leverantörskedjeattack som äventyrade de officiella installationspaketen för Daemon Tools Lite som distribuerades via leverantörens legitima webbplats. Angripare fick tillgång till leverantörens bygg- eller distributionsinfrastruktur och bäddade in skadlig kod i digitalt signerade binärfiler.
Till skillnad från traditionella sårbarheter som kräver utnyttjande av en tjänst som körs, representerar detta problem en kompromettering av programvaruförsörjningskedjan där skadlig kod bäddades in i programvara som distribuerades till slutanvändare. Eftersom programvaran verkade legitim kan berörda system ha litat på och kört installationsprogrammet utan att utlösa konventionella säkerhetskontroller.
CVE-2026-45321: TanStack
Denna sårbarhet involverade en försörjningskedjekompromiss inom TanStack npm-ekosystemet. Angripare utnyttjade legitima arbetsflöden för publicering av GitHub Actions och betrodd OIDC-autentisering för att distribuera skadliga paketversioner under legitima @tanstack/*-paketnamnrum.
De skadliga paketen innehöll skadlig kod som stal inloggningsuppgifter och kunde påverka nedströmsapplikationer eller utvecklarmiljöer som installerade berörda beroenden genom normala arbetsflöden för pakethantering.
Eftersom de komprometterade paketen distribuerades via betrodda npm-kanaler och verkade legitima, kan organisationer som använder berörda beroenden omedvetet ha infört skadlig kod i utvecklings- eller produktionsmiljöer.
CVE-2026-48027: Nx-konsolen
Denna sårbarhet involverade en leverantörskedja som komprometterade Nx Console, ett utvecklartillägg som används med Nx- och Lerna-arbetsflöden. En skadlig version av tillägget (18.95.0) publicerades kortvarigt via officiella marknadsplatser, inklusive Visual Studio Marketplace och OpenVSX.
Det komprometterade tillägget innehöll inbäddad skadlig kod och kunde utsätta berörda utvecklares arbetsstationer för obehörig exekvering av kod eller stöld av inloggningsuppgifter. Eftersom tillägget distribuerades via legitima marknadsplatser och verkade autentiskt, kan utvecklare omedvetet ha installerat den skadliga versionen genom normala uppdaterings- eller installationsarbetsflöden.
Hotets aktivitet
Alla tre sårbarheterna har lagts till i KEV-katalogen, vilket indikerar bekräftad exploatering i naturen.
Till skillnad från traditionell exploatering av exponerade tjänster utnyttjar dessa attacker betrodda uppdateringsmekanismer, paketregister och utvecklingsverktyg för att nå offren indirekt. Detta ökar sannolikheten för kompromisser även i annars väl säkrademiljöer.
Vad detta innebär för organisationer
Dessa sårbarheter visar ett skifte från direkt utnyttjande till indirekt kompromettering via betrodda programvarukällor. Organisationer kan vara exponerade om de:
Eftersom attackvektorn sker uppströms kan infektioner spridas över flera system innan de upptäcks.
Rekommenderade åtgärder för begränsning
1. Tillämpa leverantörsuppdateringar omedelbart
Se till att all påverkad programvara (Daemon Tools, TanStack-beroenden, Nx Console) uppdateras till säkra versioner eller tas bort om uppdateringar inte är tillgängliga.
2. Granska exponeringen i programvarans leveranskedja
3. Övervaka för indikatorer på kompromettering
4. Begränsa användningen av otillförlitliga programvarukällor
Sammanfattning av risk
Dessa sårbarheter utgör enrisk med stor inverkan påleveranskedjan snarare än en traditionell nätverksexponeradsårbarhet.Eftersom de riktar sig mot betrodda leveransmekanismer för programvara kan exploatering kringgå konventionella perimeterförsvar och påverka både slutanvändareoch utvecklingsmiljöer.
Organisationer bör behandla dessa KEV-poster som prioriterade åtgärdsobjekt och bedöma om någon påverkad programvara eller beroenden finns i deras miljö.