目前仅分配了 CVE-2026-45321 漏洞编号。该漏洞专门针对 TanStack 攻击活动。而更广泛的 Mini Shai-Hulud 攻击活动则利用 CI/CD 信任关系和被盗凭证，而非传统的软件漏洞。

　　多家独立安全公司将此次攻击活动归咎于 TeamPCP，这是一个以经济利益为驱动的网络犯罪团伙，于2025年末出现。谷歌威胁情报小组将该团伙追踪为 UNC6780。据 Snyk 和 Palo Alto Networks Unit 42 称，其他被追踪到的别名包括 DeadCatx3、PCPcat、ShellForce 和 CipherForce。

　　建议受影响客户1.立即扫描依赖关系树，检查 @tanstack、@uipath、@mistralai、@opensearch-project、@antv 和 @squawk 命名空间中受影响的软件包版本，包括 lockfiles 和 CI 日志。2.撤销令牌前，请检查令牌是否持久存在。3.轮换所有可能受影响系统上的凭证。4.强化 CI/CD 流水线配置。5.实施结构化依赖控制。6.对开发人员机器上的凭证存储进行审计。7.监控攻击活动指标。

　　参考链接：

　　https://www.tenable.com/blog/mini-shai-hulud-frequently-asked-questions

　　3.Nx Console 嵌入恶意代码漏洞(CVE-2026-48027)

　　5月27日，CISA已将 CVE-2026-48027 添加到其已知已利用漏洞 (KEV) 目录中。Nx Console 是 Nx 和 Lerna 的用户界面。

　　2026年5月19日，GitHub 公开披露，一名员工的设备因安装了恶意 VS Code 扩展程序而遭到入侵，导致其约 3800 个内部源代码库被窃取。虽然 GitHub 并未正式公布该扩展程序的名称，但 Nx 首席执行官 Jeff Cross 证实，Nx 正在与微软和 GitHub 合作，调查恶意 Nx Console 18.95.0 版本的影响，并指出实际安装量可能超过6000，远高于微软最初公布的28个。TeamPCP 是此次 GitHub 数据泄露事件的幕后黑手，并试图出售被盗数据。