A CISA adicionou três vulnerabilidades de cadeia de suprimentos ao seu catálogo de exploração ativa em 27 de maio de 2026. DAEMON Tools Lite, 42 pacotes TanStack no npm e a extensão Nx Console para VS Code foram comprometidos com código malicioso. Os ataques exploraram canais de distribuição oficiais, incluindo instaladores assinados, GitHub Actions e o Visual Studio Marketplace.
Como os ataques aconteceram
O caso mais grave envolve o DAEMON Tools Lite, software popular para montagem de imagens de disco. Entre abril e maio de 2026, invasores comprometeram os sistemas de build ou distribuição da AVB Disc Soft e trojanizaram três binários assinados com certificados legítimos da empresa. Os instaladores maliciosos, distribuídos diretamente pelo site oficial do fabricante, continham código para roubo de credenciais e evadiam checagens de segurança por carregarem assinaturas digitais válidas. A vulnerabilidade foi registrada como CVE-2026-8398 com CVSS v4 de 9,3.
No ecossistema npm, o ataque ao TanStack (CVE-2026-45321, CVSS 9,5) comprometeu 42 pacotes da biblioteca por meio de uma cadeia sofisticada: os invasores abusaram de uma configuração vulnerável de pull_request_target no GitHub Actions, realizaram envenenamento de cache e roubaram tokens OIDC da memória do runner. Com essas credenciais, publicaram 84 versões maliciosas de pacotes sob a identidade legítima do TanStack, injetando malware para roubo de credenciais nos projetos de milhares de desenvolvedores.
Extensão do VS Code comprometida
O terceiro alvo foi o Nx Console (CVE-2026-48027, CVSS 9,3), extensão do Visual Studio Code usada por desenvolvedores que trabalham com monorepos. Uma versão maliciosa, numerada 18.95.0, foi publicada no Visual Studio Marketplace e no OpenVSX em 19 de maio de 2026. A extensão comprometida ficou disponível por até 36 minutos antes de ser removida. A versão limpa é a 18.100.0, e usuários devem atualizar imediatamente.
| Software | CVE | CVSS | Vetor do ataque |
|---|---|---|---|
| DAEMON Tools Lite | CVE-2026-8398 | 9,3 (v4) | Binários trojanizados no site oficial |
| TanStack (npm) | CVE-2026-45321 | 9,5 (v3.1) | GitHub Actions + cache poisoning + OIDC |
| Nx Console | CVE-2026-48027 | 9,3 (v4) | Extensão maliciosa no VS Marketplace |
Prazo da CISA e impacto
A CISA determinou que agências federais americanas devem corrigir as três vulnerabilidades até 10 de junho de 2026, conforme a Diretiva Operacional Vinculante BOD 22-01. Organizações privadas também são aconselhadas a verificar a presença desses softwares em seus ambientes e tomar medidas imediatas. A inclusão no catálogo KEV indica que há evidência concreta de exploração ativa — os ataques não são teóricos.
Os três casos compartilham um padrão preocupante: todos exploram a cadeia de suprimentos de software, atingindo usuários finais através de canais de distribuição considerados confiáveis. Em nenhum dos casos a falha estava no código-fonte legítimo — os invasores se infiltraram nos processos de build, publicação ou distribuição para injetar cargas maliciosas em produtos genuínos.
Medidas de proteção
Usuários e organizações devem adotar as seguintes ações específicas para cada caso:
- DAEMON Tools Lite: desinstalar imediatamente se o software foi baixado entre abril e maio de 2026. Verificar hashes de instalações existentes com os valores publicados pelo fabricante. Considerar migrar para ferramentas alternativas nativas do sistema operacional
- TanStack: auditar o arquivo
package-lock.jsonem busca de versões publicadas durante o período do ataque. Executarnpm audite forçar atualização para as versões limpas mais recentes. Revogar quaisquer credenciais que estivessem no ambiente de build - Nx Console: confirmar se a versão instalada é 18.100.0 ou superior. Se a versão 18.95.0 esteve instalada, investigar logs de extensão do VS Code e rotacionar credenciais do ambiente de desenvolvimento