CISA zařadila 27. května 2026 do katalogu Known Exploited Vulnerabilities tři zranitelnosti pocházející z koordinovaného útoku na softwarový dodavatelský řetězec. Všechny tři CVE jsou propojeny: CVE-2026-8398 (Daemon Tools Lite), CVE-2026-45321 (TanStack npm balíčky) a CVE-2026-48027 (Nx Console pro VS Code). Společným jmenovatelem je záměrné vložení malicióztního kódu do legitimně podepsaného softwaru distribuovaného officiálními kanály.

CVE-2026-8398 se týká nástroje Daemon Tools Lite od společnosti AVB Disc Soft. Do instalačních souborů DTHelper.exe, DiscSoftBusServiceLite.exe a DTShellHlp.exe byl v období od 8. dubna do 5. května 2026 vložen škodlivý kód podepsaný platným certifikátem výrobce. Kompromitované verze jsou 12.5.0.2421 až 12.5.0.2434. Malware se po instalaci ukotví v systému jako perzistentní backdoor a navazuje komunikaci s řídícím serverem (C2). Každý, kdo nainstaloval Daemon Tools Lite v uvedeném časovém okně, by měl systém považovat za kompromitovaný: odinstalace samotná nestačí, je nutné prověřit přítomnost perzistentních mechanismů a v případě podezření reinstalovat operační systém.

CVE-2026-45321 dokumentuje útok skupiny TeamPCP označovaný jako Mini Shai-Hulud, který zasáhl 42 npm balíčků ekosystému TanStack ve 84 verzích kompromitovaných 11. května 2026. Útočníci zneužili mechanismus GitHub Actions cache poisoning v kombinaci s krádeží OIDC tokenů k podvržení škodlivého kódu do publikačního pipeline. CVSS skóre dosahuje 9,6. Worm se díky závislostem v npm ekosystému autonomně rozšířil do více než 170 balíčků s kumulativními 518 miliony stažení, přičemž zasáhl projekty Mistral AI, UiPath, Guardrails AI a OpenSearch. Provozovatelé projektů závislých na TanStack balíčcích by měli prověřit, zda jejich produkční sestavení v daném období neobsahují kompromitovanou verzi, a zkontrolovat výstupy CI/CD pipeline za květen 2026.