DAEMON Tools łata dziś wieczorem. CISA domknęła maj jednym wpisem do katalogu.

27 maja CISA dodała trzy CVE do katalogu Known Exploited Vulnerabilities. Termin dla agencji federalnych: 17 czerwca. Trzy CVE, trzy wektory, jeden miesiąc.

CVE-2026-8398 — DAEMON Tools Lite. Między 8 kwietnia a 5 maja 2026 oficjalne instalatory DAEMON Tools Lite dystrybuowane ze strony producenta zawierały trojana. Disc Soft potwierdził że systemy dystrybucji lub budowania zostały skompromitowane — podpisane instalatory przez ponad miesiąc instalowały złośliwy kod obok legalnego oprogramowania. Wersja 12.6 i nowsza jest czysta. Jeśli instalowałeś DAEMON Tools Lite między 8 kwietnia a 5 maja — rotuj poświadczenia.

CVE-2026-45321 — TanStack. Pisaliśmy szczegółowo o ataku na TanStack — cache poisoning GitHub Actions, kradzież tokenu OIDC z pamięci runnera, 84 złośliwe wersje pakietów opublikowane z ważnym SLSA Level 3 provenance. CISA potwierdza aktywną eksploitację.

CVE-2026-48027 — Nx Console. Pisaliśmy o Nx Console — złośliwa wersja 18.95.0 dostępna przez 11 minut na VS Code Marketplace i OpenVSX. Wersja 18.100.0 jest czysta.

Jeden wpis do katalogu, trzy różne wektory

Windows Forum opisuje znaczenie tego wpisu precyzyjnie: KEV to nie kolejny federalny komunikat o łataniu. To ostrzeżenie że łańcuch dostaw oprogramowania jest teraz eksploitowany przez zaufane instalatory, rejestry pakietów i narzędzia deweloperskie z zatrważającą szybkością. World Economic Forum

Trzy CVE w jednym wpisie z jednego miesiąca, wszystkie z tej samej kategorii — "Embedded Malicious Code" — to jest sygnał że CISA klasyfikuje maj 2026 jako miesiąc w którym supply chain przeszedł od zagrożenia do potwierdzonej normy operacyjnej.

Jest jeszcze jeden element który Windows Forum wyciąga i który jest ważny: oznaczenie CVE-2026-48027 jako naprawionego bo Nx Console jest zaktualizowany — pomija sedno jeśli skradzione poświadczenia nadal są aktywne. Oznaczenie CVE-2026-45321 jako rozwiązanego bo złośliwa wersja pakietu nie jest już w lockfile — ignoruje artefakty w pamięci podręcznej i wtórne buildy. World Economic Forum

KEV katalog mówi "zaktualizuj." Nie mówi "sprawdź czy ktoś już wszedł."

DAEMON Tools — szczegół który warto zaznaczyć

DAEMON Tools jest narzędziem do emulacji napędów optycznych używanym przez miliony użytkowników na całym świecie — głównie do montowania obrazów ISO. Nie jest typowym celem ataków supply chain bo nie ma dostępu do kodu produkcyjnego ani poświadczeń deweloperskich.

Atakujący skompromitowali system budowania lub dystrybucji AVB Disc Soft i zatruili trzy podpisane binaria. Podpisane certyfikatem Disc Soft, pobrane z oficjalnej strony, instalujące trojana obok legalnego oprogramowania przez prawie miesiąc. Gizmodo

To jest ta sama klasa co CPUID z marca i MacSync przez fałszywą reklamę Homebrew — oficjalna ścieżka dystrybucji jako wektor. Użytkownik który pobrał DAEMON Tools ze strony daemon-tools.cc między 8 kwietnia a 5 maja zrobił dokładnie to co powinien robić. I zainstalował trojana.

Co zrobić

Jeśli zainstalowałeś DAEMON Tools Lite między 8 kwietnia a 5 maja 2026 — zaktualizuj do wersji 12.6 lub nowszej i potraktuj środowisko jako potencjalnie skompromitowane. Rotacja poświadczeń jest właściwym krokiem.

Jeśli używałeś TanStack między 11 a 12 maja lub Nx Console 18.95.0 — wróć do wpisów TanStack i Nx Console po szczegółowe instrukcje rotacji poświadczeń.

Źródła

CISA — oficjalny wpis do KEV: https://www.cisa.gov/news-events/alerts/2026/05/27/cisa-adds-three-known-exploited-vulnerabilities-catalog

Security Affairs — omówienie trzech CVE z detalami: https://securityaffairs.com/192776/security/u-s-cisa-adds-daemon-tools-tanstack-and-nx-console-flaws-to-its-known-exploited-vulnerabilities-catalog.html

Heise — kontekst DAEMON Tools i okno infekcji: https://www.heise.de/en/news/CISA-warns-of-malware-via-supply-chain-attacks-11309474.html

Windows Forum — analiza co KEV oznacza dla organizacji i pułapki compliance: https://windowsforum.com/threads/cisa-kev-may-27-2026-supply-chain-attacks-via-daemon-tools-tanstack-nx-console.420155/