CISA KEV: Tiga CVE Serangan Rantai Pasokan Ditambahkan — TanStack npm Worm, Nx Console Credential Stealer, DAEMON Tools Trojan

CISA menambahkan tiga CVE malware rantai pasokan ke katalog KEV pada 27 Mei, semua dikonfirmasi dengan eksploitasi aktif di alam liar. CVE-2026-45321 (TanStack, CVSS 9.6): Versi berbahaya dari paket npm @tanstack dipublikasikan melalui pipeline CI milik TanStack sendiri melalui serangan keracunan cache Pwn Request + Actions + ekstraksi token OIDC berantai, menghasilkan 84 versi berbahaya di 42 paket dan mempengaruhi OpenAI, Mistral AI, UiPath, dan lainnya. CVE-2026-48027 (Nx Console, CWE-506): Versi berbahaya 18.95.0 dari ekstensi Nx Console VS Code menjalankan payload tersembunyi saat aktivasi ruang kerja yang mengumpulkan kredensial pengembang dan cloud dan digunakan sebagai langkah perantara dalam pelanggaran ~3.800 repositori internal GitHub. CVE-2026-8398 (DAEMON Tools Lite, CWE-506): Installer resmi yang didistribusikan dari situs web DAEMON Tools yang sah selama kurang lebih satu bulan berisi kode berbahaya yang tertanam; tanggal jatuh tempo federal 3 Juni 2026.

Rantai pasokan: (1) TanStack — penyerang menyalahgunakan alur kerja pull_request_target GitHub Actions dengan keracunan cache Actions dan ekstraksi token OIDC untuk mempublikasikan paket npm berbahaya melalui CI sah TanStack, menargetkan toko kredensial lingkungan pengembang dan CI/CD. (2) Nx Console — ekstensi VS Code berbahaya secara otomatis menjalankan payload Bun yang dikaburkan saat aktivasi ruang kerja, mengelak kredensial dan memasang persistensi macOS. (3) DAEMON Tools — installer yang ditroykan didistribusikan dari halaman unduhan resmi vendor selama jendela infeksi.

TanStack: semua konsumen paket npm @tanstack/* selama jendela ~6 menit; hilir: perangkat karyawan OpenAI, Mistral AI, UiPath, Guardrails AI, OpenSearch. Nx Console: pengguna VS Code dengan versi 18.95.0; hilir: infrastruktur repositori internal GitHub. DAEMON Tools Lite: pengguna Windows yang menginstal dari situs resmi selama jendela April 2026.

Untuk TanStack: audit semua lingkungan CI/CD untuk versi paket @tanstack yang dikompromikan dan putar kredensial apa pun (kunci cloud, token npm, token GitHub, kunci SSH) yang ada di lingkungan build yang terpengaruh. Untuk Nx Console: hapus versi 18.95.0 segera, pindai mekanisme persistensi (macOS LaunchAgents), putar kredensial pengembang dan cloud. Untuk DAEMON Tools: identifikasi dan karantina endpoint dengan versi installer yang terpengaruh, lakukan audit kredensial di mesin tersebut. Umum: terapkan allowlist untuk ekstensi VS Code dan paket npm, perkuat alur kerja GitHub Actions untuk mencegah serangan Pwn Request (pin SHA, gunakan aturan perlindungan lingkungan).