米 CISA は 2026 年 5 月 27 日、開発者・配布インフラを狙ったサプライチェーン攻撃 3 件を Known Exploited Vulnerabilities (KEV) カタログに追加した。いずれも正規署名や CI/CD パイプラインを悪用し、検知をすり抜けて悪性コードを配布した点で共通する。連邦民事機関 (FCEB) には Binding Operational Directive 22-01 に基づく期限内の対応が義務付けられた。
主なポイント
- DAEMON Tools Lite (CVE-2026-8398): 公式インストーラ 3 本が AVB Disc Soft の有効な署名付きで 4 月 8 日〜5 月 5 日に配布、env-check.daemontools.cc から追加ペイロードを取得
- TanStack (CVE-2026-45321): 5 月 11 日に @tanstack 系 42 パッケージへ 84 個の悪性バージョンが投入。pull_request_target の設定不備と OIDC トークン窃取を連鎖させた "Mini Shai-Hulud" ワーム
- Nx Console (CVE-2026-48027): 5 月 19 日に Visual Studio Marketplace と OpenVSX で偽装版 18.95.0 が約 36 分間公開
- DAEMON Tools 案件の FCEB 期限は 2026 年 6 月 17 日
- 開発者・SRE は npm/extension ロックファイルと拡張機能の出所検証、CI のシークレット再発行を CISA が推奨