El atacante, conocido como UNC6426, aprovechó las claves robadas después de la violación de la cadena de suministro del paquete nx npm del año pasado para comprometer completamente los entornos de nube de las víctimas en 72 horas.
El ataque comenzó con el robo del token GitHub de un desarrollador, que el actor de la amenaza utilizó para obtener acceso no autorizado a la nube y robar datos.
«Los actores de amenazas UNC6426 utilizaron este acceso para explotar la confianza OpenID Connect (OIDC) entre GitHub y AWS y crearon una nueva función de administrador en su entorno de nube», dijo Google en su informe Cloud Threat Horizons para la primera mitad de 2026. «Explotaron esta función para acceder al almacenamiento simple de Amazon Web Services (AWS) de los clientes. «Extrajimos archivos del depósito de servicio (S3) y realizamos la destrucción de datos en el entorno de producción de la nube».
En agosto de 2025 se produjo un ataque a la cadena de suministro dirigido al paquete nx npm. En ese momento, un atacante desconocido aprovechó un flujo de trabajo vulnerable pull_request_target (un tipo de ataque conocido como Pwn Request) para obtener privilegios elevados, acceder a datos confidenciales, incluido GITHUB_TOKEN, y, en última instancia, enviar una versión troyanizada del paquete al registro npm.
Se descubrió que este paquete tenía un script posterior a la instalación incorporado. El script inicia un ladrón de credenciales de JavaScript llamado QUIETVAULT y extrae tokens valiosos como variables de entorno, información del sistema y tokens de acceso personal (PAT) de GitHub al utilizar como arma la herramienta Large Language Model (LLM) ya instalada en el punto final para realizar búsquedas. Los datos se cargaron en un repositorio público de GitHub llamado ‘/s1ngularity-repository-1’.
Según Google, un empleado de la organización víctima ejecutó una aplicación de edición de código que utilizaba el complemento Nx Console y el proceso desencadenó una actualización que resultó en la ejecución de QUIETVAULT.
UNC6426 supuestamente usó el PAT robado para comenzar operaciones de reconocimiento dentro del entorno GitHub del cliente dos días después de la infracción inicial, en la que utilizó una herramienta legítima de código abierto llamada Nord Stream para extraer secretos del entorno CI/CD y filtrar las credenciales de la cuenta de servicio GitHub.
Luego, los atacantes explotaron esta cuenta de servicio y utilizaron el parámetro «–aws-role» de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol «Actions-CloudFormation», lo que finalmente les permitió afianzarse en el entorno AWS de la víctima.
«El papel del comprometido Github-Actions-CloudFormation fue demasiado permisivo», dijo Google. UNC6426 utilizó este permiso para implementar una nueva pila de AWS con capacidades («CAPABILITY_NAMED_IAM», «CAPABILITY_IAM»). El único propósito de esta pila era crear una nueva función de IAM y adjuntarle la política arn:aws:iam::aws:policy/AdministratorAccess. Escalamos con éxito el token robado a privilegios completos de administrador de AWS en cuestión de horas».
Equipado con una nueva función de administrador, el atacante realizó una serie de acciones, incluida la enumeración y el acceso a objetos en un depósito S3, la finalización de instancias de producción de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrado claves de aplicaciones. En la etapa final, todos los repositorios internos de GitHub de la víctima pasaron a llamarse ‘/s1ngularity-repository-(randomcharacters)’ y se hicieron públicos.
Para combatir tales amenazas, use un administrador de paquetes que evite scripts posteriores a la instalación y herramientas de espacio aislado, aplique el principio de privilegio mínimo (PoLP) en las cuentas de servicio de CI/CD y roles vinculados a OIDC, aplique PAT detalladas con tiempos de vencimiento cortos y permisos de repositorio específicos, elimine permisos fijos para acciones riesgosas como la creación de roles de administrador, monitoree la actividad anómala de IAM y use Shadow AI. Recomendamos implementar fuertes controles para detectar riesgos.
El incidente destaca lo que Socket describió como un abuso de la cadena de suministro impulsado por IA en el que la ejecución se descarga a un agente de IA que ya tiene acceso privilegiado al sistema de archivos, las credenciales y las herramientas autenticadas de un desarrollador.
«La intención maliciosa se expresa a través de indicaciones en lenguaje natural en lugar de devoluciones de llamadas de red explícitas o puntos finales codificados, lo que complica los enfoques de detección tradicionales», dijo la firma de seguridad de la cadena de suministro de software. «A medida que los asistentes de IA se integran más en los flujos de trabajo de los desarrolladores, la superficie de ataque también se expande. Cualquier herramienta que pueda invocar un asistente de IA heredará ese alcance».
Source link
