Угроза UNC6426: Взлом npm-пакета nx привел к полному контролю над AWS за 72 часа
Группа UNC6426 продемонстрировала катастрофические последствия атаки на цепочку поставок программного обеспечения. Используя учетные данные, похищенные при компрометации популярного npm-пакета `nx` в 2025 году, злоумышленники полностью захватили облачную среду организации-жертвы всего за трое суток. Цепочка атак началась с кражи токена разработчика GitHub, который послужил начальной точкой для несанкционированного доступа к облачной инфраструктуре.
Согласно отчету Google Cloud Threat Horizons за первое полугодие 2026 года, следующим критическим шагом стало злоупотребление доверием между GitHub и AWS через OpenID Connect. Используя первоначальный доступ, UNC6426 создала новую роль администратора в облачной среде. Эти привилегии были немедленно использованы для вывода файлов из корзин Amazon S3 жертвы.
Исходный вектор атаки относится к августу 2025 года, когда неизвестные акторы скомпрометировали пакет `nx`. Они использовали уязвимый workflow `pull_request_target` на GitHub, известный как атака "Pwn Request", для получения повышенных привилегий. Это позволило похитить конфиденциальные данные, включая `GITHUB_TOKEN`, и разместить в официальном реестре npm троянизированные версии пакета.
Вредоносные пакеты содержали пост-установочный скрипт, запускавший JavaScript-стилер QUIETVAULT. Этот стилер, созданный для скрытности, собирал переменные окружения, системную информацию и ценные токены аутентификации, такие как GitHub Personal Access Tokens. Для поиска данных даже использовался инструмент LLM, уже присутствовавший на скомпрометированной системе.
Вся похищенная информация передавалась в публичный репозиторий GitHub `/s1ngularity-repository-1`. По данным Google, нарушение в организации-жертве произошло, когда сотрудник запустил приложение редактора кода с плагином Nx Console, что вызвало обновление и выполнение стилера QUIETVAULT. Последующая разведка в среде GitHub жертвы позволила группе UNC6426 быстро эскалировать привилегии и нанести максимальный ущерб.
