CISA要求聯邦機構對近期發生的軟體供應鏈事故採取行動

值得留意的是，CISA給予聯邦機構因應威脅的期限有所不同，其中最短的是虛擬光碟機軟體Daemon Tools Lite嵌入惡意程式碼弱點CVE-2026-8398，聯邦機構必須在5月30日前完成修補。此事故為卡巴斯基於5月初揭露，受影響範圍涵蓋從4月8日發布的12.5.0.2421版，到當時最新的12.5.0.2434。當時卡巴斯基發現，部分執行Deamon Tools Lite的電腦，會連往冒牌Deamon Tools網域的伺服器下載其他作案工具。這些受害者都是從軟體開發商AVB Disc Soft設立的Deamon Tools網站下載安裝程式，而且這些安裝檔都具有AVB Disc Soft簽章，不過內部元件卻遭到竄改，因此確認是供應鏈攻擊。

另外兩個漏洞CVE-2026-45321、CVE-2026-48027，指的是網頁應用程式框架TanStack的NPM套件TanStack Router，以及Nx Console的Visual Studio Code（VS Code）延伸套件遭到攻擊的事故，駭客滲透GitHub Actions發布流程，上架惡意套件，從而影響開發人員的環境。CISA要求聯邦機構，必須在6月10日前進行處理。