CISA KEV: Tiga CVE Serangan Rantai Pasokan Ditambahkan — TanStack npm Worm, Nx Console Credential Stealer, DAEMON Tools Trojan

CISA menambahkan tiga CVE malware rantai pasokan ke katalog KEV pada 27 Mei, semua dikonfirmasi dengan eksploitasi aktif di liar. CVE-2026-45321 (TanStack, CVSS 9.6): Versi berbahaya paket npm @tanstack dipublikasikan melalui pipeline CI TanStack sendiri melalui serangan chained Pwn Request + Actions cache poisoning + OIDC token extraction, menghasilkan 84 versi berbahaya di 42 paket dan memengaruhi OpenAI, Mistral AI, UiPath, dan lainnya. CVE-2026-48027 (Nx Console, CWE-506): Versi berbahaya 18.95.0 dari ekstensi Nx Console VS Code mengeksekusi payload tersembunyi pada aktivasi workspace yang mengumpulkan kredensial pengembang dan cloud dan digunakan sebagai langkah perantara dalam pelanggaran ~3.800 repositori internal GitHub. CVE-2026-8398 (DAEMON Tools Lite, CWE-506): Installer resmi didistribusikan dari situs web DAEMON Tools yang sah selama sekitar satu bulan berisi kode berbahaya yang tertanam; tanggal jatuh tempo federal 3 Juni 2026.

Rantai pasokan: (1) TanStack — penyerang menyalahgunakan workflow pull_request_target GitHub Actions dengan Actions cache poisoning dan OIDC token extraction untuk mempublikasikan paket npm berbahaya melalui CI legitim TanStack, menargetkan penyimpanan kredensial lingkungan pengembang dan CI/CD. (2) Nx Console — ekstensi VS Code berbahaya secara otomatis menjalankan payload Bun yang dikaburkan pada aktivasi workspace, mengeksfiltrasikan kredensial dan memasang persistensi macOS. (3) DAEMON Tools — installer yang ditrojani didistribusikan dari halaman unduhan resmi vendor selama jendela infeksi.

TanStack: semua konsumen paket npm @tanstack/* selama jendela ~6 menit; hilir: perangkat karyawan OpenAI, Mistral AI, UiPath, Guardrails AI, OpenSearch. Nx Console: pengguna VS Code dengan versi 18.95.0; hilir: infrastruktur repositori internal GitHub. DAEMON Tools Lite: pengguna Windows yang memasang dari situs resmi selama jendela April 2026.

Untuk TanStack: audit semua lingkungan CI/CD untuk versi paket @tanstack yang dikompromikan dan rotasi kredensial apa pun (kunci cloud, token npm, token GitHub, kunci SSH) yang ada di lingkungan build yang terpengaruh. Untuk Nx Console: hapus versi 18.95.0 segera, pindai mekanisme persistensi (macOS LaunchAgents), rotasi kredensial pengembang dan cloud. Untuk DAEMON Tools: identifikasi dan karantina endpoint dengan versi installer yang terpengaruh, lakukan audit kredensial pada mesin tersebut. Umum: implementasikan allowlist untuk ekstensi VS Code dan paket npm, perkuat workflow GitHub Actions untuk mencegah serangan Pwn Request (pin SHA, gunakan aturan perlindungan lingkungan).