TL;DR:
- CISA hat am 27.05.2026 drei Supply-Chain-Schwachstellen in die Known-Exploited-Vulnerabilities-Liste (KEV) aufgenommen.
- CVE-2026-48027 (Nx Console, CVSS 9.3) — vergiftete VS-Code-Extension v18.95.0 klaut GitHub-Token, AWS-Keys, SSH-Schlüssel und 1Password-CLI-Sessions.
- CVE-2026-45321 (TanStack, CVSS 9.6) — npm-Packages mit Credential-Stealer.
- CVE-2026-8398 (Daemon Tools Lite) — embedded Malicious Code in Installer.
- Bundesbehörden-Frist: 10. Juni 2026 — privat-wirtschaftliche Empfehlung: SOFORT.
Wenn du gestern noch dachtest, der Nx-Console-Hack vom 18.05. wäre erledigt — du irrst. Die US-Cybersicherheits-Behörde CISA hat am 27. Mai gleich drei Supply-Chain-Lücken in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Übersetzt: Es gibt nachgewiesene aktive Ausnutzung im Netz, und für US-Bundesbehörden gilt eine harte Patch-Deadline am 10. Juni 2026.
Diese drei CVEs musst du kennen
CVE-2026-48027 — Nx Console VS-Code-Extension. CVSS 9.3. Eine bösartige Version 18.95.0 wurde am 18.05.2026 in den Visual Studio Marketplace und Open VSX geschmuggelt. Beim Start führte sie einen einzigen versteckten Shell-Befehl aus, der einen obfuskierten Payload nachlud. Was geklaut wurde: GitHub-Tokens, npm-Auth-Tokens, AWS-Credentials, Vault-Tokens, K8s-Tokens, 1Password-CLI-Sessions, SSH-Private-Keys, Google-Cloud- und Docker-Credentials. Sauber ist Version 18.100.0.
CVE-2026-45321 — TanStack npm-Packages. CVSS 9.6. Mehrere TanStack-Pakete wurden im npm-Registry durch malicious Versionen ersetzt. Der Stealer arbeitet ähnlich wie bei Nx — er greift Cloud-Credentials ab und schickt sie an Command-and-Control-Server.
CVE-2026-8398 — Daemon Tools Lite. Der bekannte Image-Mount-Klassiker für Windows liefert in einer kompromittierten Version Embedded Malicious Code direkt mit. Wer das Tool 2026 frisch installiert hat, sollte JETZT einen vollständigen Scan fahren.
Die Wahrheit über den Schaden
Aus den Nx-Logs ist mittlerweile klar: Rund 3.800 GitHub-Repositories wurden exfiltriert. Betroffen sind unter anderem OpenAI, Grafana Labs und Mistral AI — also nicht nur Hobby-Projekte. Der Angreifer hatte sich Zugang zu einem legitimen Nx-Developer-Account verschafft, vermutlich über die TanStack-Welle.
So prüfst du DEINE Umgebung
Du brauchst nicht zu warten, bis CISA an deiner Tür klopft. Drei schnelle Checks:
- VS Code öffnen, Extensions, Nx Console anklicken, Version prüfen. Alles unter 18.100.0 sofort upgraden.
- npm-Lockfile durchforsten:
npm ls @tanstack/*und die letzten Install-Timestamps mit dem 18.05.2026 vergleichen. - Secrets rotieren: GitHub-Tokens, AWS-Keys und SSH-Keys neu generieren, falls du in den letzten 14 Tagen mit Nx Console oder TanStack gearbeitet hast.
Was du dauerhaft ändern solltest
Supply-Chain-Angriffe auf Dev-Tools sind 2026 die häufigste Initial-Access-Methode. Drei Routinen, die du ab jetzt fährst:
- Extension-Auto-Update aus — manuell prüfen ist nervig, aber lebensrettend.
- npm-Lockfile-Pflicht in CI:
npm cistattnpm install. - Secret-Scanner wie GitGuardian oder trufflehog in jeder Pipeline.
FAQ
Was ist die CISA KEV?
Die Known Exploited Vulnerabilities Liste der US-Cybersicherheitsbehörde. Aufnahme erfolgt nur bei nachgewiesener aktiver Ausnutzung.
Gilt die Frist 10. Juni auch für mich?
Rechtlich nur für US-Bundesbehörden. Praktisch nutzen Versicherer und Auditoren die KEV als Maßstab — du solltest dich daran orientieren.
Wie erkenne ich, ob meine Repos exfiltriert wurden?
GitHub Audit Log nach unbekannten Clones und ungewöhnlichen IPs durchsehen. Bei Verdacht: Token rotieren und Repos auf private zurückstellen.
Reicht ein Update der Extension?
Nein. Wer infiziert war, muss zusätzlich alle Secrets, die die Extension lesen konnte, rotieren.
Sind Cursor und Windsurf auch betroffen?
Beide nutzen das VS-Code-Extension-Modell. Wenn du Nx Console dort installiert hattest, gilt dasselbe Risiko.
[bookmark-affiliate slug=“proton-mail“]