Die US-amerikanische IT-Sicherheitsbehörde CISA hat eine Warnung vor den kürzlich entdeckten Supply-Chain-Angriffen auf mehrere Produkte veröffentlicht. IT-Verantwortliche sollten das zum Anlass nehmen, zu prüfen, ob sie unwissentlich mit Malware verseuchte Pakete einsetzen.
Insgesamt warnt die CISA vor drei Vorfällen. An erster Stelle stehen die Daemon Tools, die zwischen dem 8. April und 5. Mai 2026 mit Malware infizierte Installer von Daemon Tools Lite ausgeliefert haben. Die Version 12.6 und neuere der Daemon Tools Lite enthalten keinen Schadcode mehr, versichert der Anbieter. Der Vorfall hat einen CVE-Schwachstelleneintrag erhalten (CVE-2026-8398, CVSS 9.8, Risiko „kritisch“). Ungewöhnlich ist die Dringlichkeit, die die CISA zum Fixen vorgibt: Statt der üblichen zwei Wochen haben US-amerikanische Behörden lediglich bis zum 30. Mai Zeit, die bereinigte Software zu verteilen.
Ein weiterer Lieferkettenangriff erfolgte auf TanStack. Dabei haben die bösartigen Akteure 42 Pakete kompromittiert, mit 84 kompromittierten Versionen. Nach nur 20 Minuten sind die infizierten Pakete aufgeflogen (der CVE-Eintrag spricht gar nur von 6 Minuten am 11. Mai 2026, von 19:20 bis 19:26 Uhr UTC) und seitdem als „deprecated“ markiert, es ist jedoch unklar, wie oft sie installiert wurden. Betroffene sollten ihre Zugangsdaten auf jeden Fall erneuern. Der zugehörige CVE-Schwachstelleneintrag hat die Nummer CVE-2026-45321 erhalten (CVSS 9.8, Risiko „kritisch“).
