مجموعة تهديد متطورة تُعرف باسم UNC6426 تكشف العواقب الكارثية لهجمات سلسلة التوريد البرمجية
تمكنت مجموعة التهديدات المتقدمة، التي تُعرف باسم UNC6426، من اختراق بيئة سحابة مؤسسة ضحية بشكل كامل في غضون 72 ساعة فقط، وذلك من خلال الاستفادة من بيانات الاعتماد المسروقة خلال اختراق حزمة npm الشهيرة `nx` في عام 2025. بدأت سلسلة الهجوم بسرقة رمز وصول مطور على منصة GitHub، استخدمه المهاجمون كنقطة انطلاق أولية للوصول غير المصرح به إلى البنية التحتية السحابية للضحية.
وفقاً لتقرير "آفاق التهديدات السحابية" من شركة جوجل للنصف الأول من عام 2026، كانت الخطوة التالية للمهاجمين حاسمة بشكل خاص. حيث قاموا باستغلال آلية الثقة بين GitHub وخدمة AWS المعروفة باسم OpenID Connect لإنشاء دور مسؤول جديد في البيئة السحابية. تم استخدام هذه الصلاحيات الإدارية حديثة الإنشاء على الفور لاستخراج الملفات من مستودعات Amazon S3 التابعة للمؤسسة، مما أدى في النهاية إلى تدمير البيانات في بيئاتها السحابية الإنتاجية.
يعود مصدر الهجوم الأولي إلى شهر أغسطس من عام 2025، عندما اخترق مهاجمون مجهولون حزمة `nx` على npm. استغلوا ثغرة في سير عمل GitHub يسمى `pull_request_target`، وهي تقنية هجومية تعرف باسم "هجوم طلب الاستيلاء"، للحصول على صلاحيات متقدمة. مكّنهم هذا الوصول من سرقة بيانات حساسة، بما في ذلك رمز `GITHUB_TOKEN`، ودفع إصدارات ضارة ومخترقة من الحزمة إلى سجل npm الرسمي.
احتوت الحزم الضارة على سكريبت ما بعد التثبيت ينفذ برنامجاً خبيثاً لسرقة بيانات الاعتماد يُدعى QUIETVAULT. صُمم هذا البرنامج الخبيث للعمل بسرية وكفاءة عالية، حيث قام بتصريف متغيرات البيئة ومعلومات النظام ورموز المصادقة القيمة مثل رموز الوصول الشخصية على GitHub. ولاحظ المحللون استخدام البرنامج لأداة ذكاء اصطناعي كبيرة موجودة مسبقاً على الجهاز المصاب للبحث عن هذه البيانات الحساسة.
تم إرسال جميع المعلومات المسروقة إلى مستودع عام على GitHub يحمل اسم `/s1ngularity-repository-1`. تشير تحليلات جوجل إلى أن اختراق المؤسسة الضحية حدث عندما قام موظف بتشغيل تطبيق محرر أكواد يستخدم إضافة Nx Console، مما أدى إلى تشغيل تحديث قام بتنفيذ برنامج QUIETVAULT لسرقة البيانات، لتبدأ بعدها مجموعة UNC6426 عمليات الاستطلاع داخل بيئة GitHub الخاصة بالضحية.
