Агентство по кибербезопасности и защите инфраструктуры США (CISA) дополнило свой каталог известных эксплуатируемых уязвимостей (KEV - перечень тех проблем, которые злоумышленники уже используют в реальных атаках) тремя новыми записями. Все они получили критический уровень опасности по шкале CVSS (CVSS - международная система оценки серьезности уязвимостей, где 10 баллов - наивысшая угроза). Каждая из этих уязвимостей связана с атаками на цепочки поставок, когда вредоносный код проникает в легитимное программное обеспечение ещё на этапе его сборки или распространения.
Первая уязвимость: CVE-2026-8398 (Daemon Tools Lite)
Эта проблема затронула популярную утилиту для работы с образами дисков - Daemon Tools Lite для Windows. Как выяснилось, с 8 апреля по 5 мая 2026 года злоумышленники получили несанкционированный доступ к инфраструктуре сборки разработчика - компании AVB Disc Soft. В результате официальные установочные пакеты, которые распространялись через legit сайт daemon-tools.cc, были модифицированы. Вредоносный код внедрили в три исполняемых файла: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Особую опасность придаёт тот факт, что эти файлы оставались подписаны легитимным сертификатом AVB Disc Soft. Поэтому они обходили сигнатурные антивирусные проверки и выглядели абсолютно безопасными. Уязвимыми оказались версии с 12.5.0.2421 по 12.5.0.2434. Агентство CISA рекомендует пользователям как можно скорее удалить эти версии и установить обновлённые. Примечательно, что оценка CVSS для этой уязвимости составила 9,8 балла из 10 (по версии 3.1) - это означает, что атакующий может удалённо полностью скомпрометировать систему без какого-либо взаимодействия с пользователем.
Вторая уязвимость: CVE-2026-45321 (TanStack)
Вторая запись в каталоге KEV связана с экосистемой JavaScript-библиотек TanStack (набор инструментов для создания пользовательских интерфейсов). 11 мая 2026 года в течение всего шести минут - с 19:20 до 19:26 UTC - злоумышленники опубликовали 84 вредоносные версии 42 различных пакетов в реестре npm (npm - менеджер пакетов для Node.js, хранилище кода для веб-разработчиков). Атака оказалась изощрённой: взломщики не меняли сам процесс сборки, а использовали комбинацию трёх известных классов уязвимостей. Во-первых, неправильную настройку механизма pull_request_target в GitHub Actions (GitHub Actions - встроенная система автоматизации сборки и тестирования кода на платформе GitHub). Во-вторых, отравление кэша GitHub Actions, чтобы подменить данные между форками и основной веткой репозитория. В-третьих, они извлекли из памяти процесса раннера OIDC-токен (OIDC - протокол OpenID Connect, позволяющий безопасно подтверждать личность без хранения паролей). Благодаря этому атакующие смогли публиковать пакеты от имени доверенного аккаунта TanStack. Вредоносный код в этих пакетах занимался кражей облачных учётных данных, токенов GitHub и SSH-ключей (SSH - протокол для безопасного удалённого доступа к серверам). Всего затронуто около четырёх десятков пакетов, включая react-router, solid-start, vue-router и другие. CVSS-оценка - 9,6 балла. Пользователям необходимо обновить затронутые пакеты до версий, следующих за вредоносными, либо проверить системы на наличие скомпрометированных токенов.
Третья уязвимость: CVE-2026-48027 (Nx Console)
Третья угроза коснулась расширения для редакторов кода - Nx Console (графический интерфейс для систем сборки Nx и Lerna). 19 мая 2026 года на площадке Visual Studio Marketplace в течение примерно 18 минут была доступна вредоносная версия 18.95.0. На платформе OpenVSX проблема была обнаружена позже, и заражённая версия висела почти 36 минут. Злоумышленники опубликовали её от имени разработчика nrwl, и сразу после обнаружения расширение было удалено. Однако за это время его могли скачать и установить тысячи пользователей. Вредоносный код встраивался в сам интерфейс и, по всей видимости, преследовал те же цели - кражу учётных данных или выполнение произвольных команд. Разработчики уже выпустили безопасную версию 18.100.0. CISA настоятельно рекомендует проверить установленные версии Nx Console и обновиться.
Анализ и последствия
Все три инцидента объединяет один общий вектор - компрометация цепочки поставок. Злоумышленники проникают не напрямую в сети жертв, а атакуют разработчиков, репозитории кода или инфраструктуру сборки, чтобы распространить вредоносное ПО через доверенные каналы. Такой подход особенно опасен, потому что пользователи обычно полностью доверяют официальным источникам. Последствия атаки могут быть катастрофическими: от кражи ключей доступа к облачным сервисам до полного захвата контроля над корпоративной сетью. Особую тревогу вызывает случай TanStack, где атака произошла за считанные минуты и использовала сложную цепочку из трёх уязвимостей в GitHub Actions. Это говорит о том, что злоумышленники активно изучают и эксплуатируют механизмы CI/CD (CI/CD - практика автоматизации сборки, тестирования и развёртывания кода).
Что делать?
Специалистам по информационной безопасности необходимо немедленно проверить, не были ли в их организациях установлены затронутые версии Daemon Tools Lite, TanStack-пакетов и Nx Console. Для Daemon Tools требуется полное удаление старых версий и установка обновлённых. Для TanStack - обновить все затронутые пакеты до последних версий, а также перевыпустить скомпрометированные токены и ключи. Владельцам Nx Console нужно обновиться до версии 18.100.0. Кроме того, стоит обратить внимание на общие практики безопасности: ограничить использование pull_request_target в GitHub Actions, внедрить многофакторную аутентификацию для публикации пакетов и регулярно мониторить каталог KEV от CISA. Только проактивный подход может снизить риск новых атак на цепочки поставок, которые продолжают набирать обороты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-48027
- https://www.cve.org/CVERecord?id=CVE-2026-45321
- https://www.cve.org/CVERecord?id=CVE-2026-8398
- https://www.cisa.gov/news-events/alerts/2026/05/27/cisa-adds-three-known-exploited-vulnerabilities-catalog
