기술 설명
CISA는 5월 27일 KEV 카탈로그에 3개의 공급망 악성코드 CVE를 추가했으며, 모두 활발한 야생 악용 확인 상태입니다. CVE-2026-45321 (TanStack, CVSS 9.6): @tanstack npm 패키지의 악성 버전이 체인된 Pwn Request + Actions 캐시 중독 + OIDC 토큰 추출 공격을 통해 TanStack의 자체 CI 파이프라인으로 게시되어, 42개 패키지에 걸쳐 84개의 악성 버전을 생성했으며 OpenAI, Mistral AI, UiPath 등에 영향을 미쳤습니다. CVE-2026-48027 (Nx Console, CWE-506): Nx Console VS Code 확장 프로그램의 악성 버전 18.95.0이 작업 공간 활성화 시 숨겨진 페이로드를 실행하여 개발자 및 클라우드 자격증명을 수집했으며, 약 3,800개의 GitHub 내부 리포지토리 침해의 중간 단계로 사용되었습니다. CVE-2026-8398 (DAEMON Tools Lite, CWE-506): 정상 DAEMON Tools 웹사이트에서 배포된 공식 설치 프로그램이 약 1개월 동안 포함된 악성코드를 내장했으며, 연방 기한은 2026년 6월 3일입니다.
공격 경로
공급망: (1) TanStack — 공격자가 GitHub Actions pull_request_target 워크플로우를 오용하여 Actions 캐시 중독 및 OIDC 토큰 추출로 TanStack의 정상 CI를 통해 악성 npm 패키지를 게시했으며, 개발자 및 CI/CD 환경 자격증명 저장소를 대상으로 했습니다. (2) Nx Console — 악성 VS Code 확장 프로그램이 작업 공간 활성화 시 난독화된 Bun 페이로드를 자동 실행했으며, 자격증명을 탈취하고 macOS 지속성을 설치했습니다. (3) DAEMON Tools — 감염 윈도우 중에 공급업체의 공식 다운로드 페이지에서 배포된 트로janized 설치 프로그램입니다.
영향받는 시스템
TanStack: ~6분 윈도우 동안의 모든 @tanstack/* npm 패키지 소비자, 다운스트림: OpenAI 직원 기기, Mistral AI, UiPath, Guardrails AI, OpenSearch. Nx Console: 버전 18.95.0을 가진 VS Code 사용자, 다운스트림: GitHub 내부 리포지토리 인프라. DAEMON Tools Lite: 2026년 4월 윈도우 중에 공식 사이트에서 설치한 Windows 사용자입니다.
완화 방안
TanStack의 경우: 손상된 @tanstack 패키지 버전에 대해 모든 CI/CD 환경을 감사하고 영향받은 빌드 환경에 있는 모든 자격증명(클라우드 키, npm 토큰, GitHub 토큰, SSH 키)을 교체합니다. Nx Console의 경우: 버전 18.95.0을 즉시 제거하고, 지속성 메커니즘(macOS LaunchAgents)을 스캔하고, 개발자 및 클라우드 자격증명을 교체합니다. DAEMON Tools의 경우: 영향받은 설치 프로그램 버전이 있는 엔드포인트를 식별하고 격리하며, 해당 머신에서 자격증명 감사를 수행합니다. 일반: VS Code 확장 프로그램 및 npm 패키지에 대한 허용 목록을 구현하고, Pwn Request 공격을 방지하도록 GitHub Actions 워크플로우를 강화합니다(SHA 고정, 환경 보호 규칙 사용).