威胁组织UNC6426利用npm供应链攻击在72小时内获得AWS管理员权限

一个名为UNC6426的威胁组织利用去年nx npm包供应链攻击中窃取的密钥，在72小时内完全入侵了受害者的云环境。

攻击始于开发者GitHub令牌的窃取，威胁组织随后利用该令牌获得对云环境的未授权访问并窃取数据。

Google在其2026年上半年云威胁地平线报告中表示："威胁组织UNC6426随后利用这一访问权限滥用GitHub到AWS OpenID Connect信任关系，在云环境中创建了一个新的管理员角色。他们滥用该角色从客户的Amazon Web Services S3存储桶中窃取文件，并在其生产云环境中实施数据破坏。"

针对nx npm包的供应链攻击发生在2025年8月，当时未知威胁组织利用了一个易受攻击的pull_request_target工作流（这种攻击类型被称为Pwn Request）来获得提升的权限并访问敏感数据，包括GITHUB_TOKEN，最终将木马化版本的包推送到npm注册表。

这些包被发现嵌入了一个postinstall脚本，该脚本启动了一个名为QUIETVAULT的JavaScript凭证窃取器，通过武器化端点上已安装的大语言模型工具来搜索并获取环境变量、系统信息以及有价值的令牌，包括GitHub个人访问令牌。数据被上传到名为"/s1ngularity-repository-1"的公共GitHub仓库。

Google表示，受害组织的一名员工运行了使用Nx Console插件的代码编辑器应用程序，触发了更新过程，导致QUIETVAULT的执行。

据称，UNC6426在初次入侵两天后，使用窃取的个人访问令牌在客户的GitHub环境中开始侦察活动，使用名为Nord Stream的合法开源工具从CI/CD环境中提取秘密信息，泄露了GitHub服务账户的凭据。

随后，攻击者利用该服务账户并使用工具的"--aws-role"参数为"Actions-CloudFormation"角色生成临时AWS安全令牌服务令牌，最终使他们能够在受害者的AWS环境中获得立足点。

Google表示："被入侵的Github-Actions-CloudFormation角色权限过度。UNC6426利用此权限部署了一个具有能力的新AWS堆栈。该堆栈的唯一目的是创建新的IAM角色并将管理员访问策略附加到其上。UNC6426在不到72小时内成功从窃取的令牌升级为完整的AWS管理员权限。"

拥有新的管理员角色后，威胁组织执行了一系列操作，包括枚举和访问S3存储桶中的对象、终止生产弹性计算云和关系数据库服务实例，以及解密应用程序密钥。在最后阶段，受害者的所有内部GitHub仓库都被重命名为"/s1ngularity-repository-[随机字符]"并公开。

为了对抗此类威胁，建议使用防止postinstall脚本或沙箱工具的包管理器，对CI/CD服务账户和OIDC链接角色应用最小权限原则，强制执行具有短过期窗口和特定仓库权限的细粒度个人访问令牌，移除创建管理员角色等高风险操作的常驻权限，监控异常IAM活动，并实施强控制来检测影子AI风险。

该事件突出了Socket描述的AI辅助供应链滥用案例，其中执行被卸载给已经拥有对开发者文件系统、凭据和认证工具特权访问的智能体。

软件供应链安全公司表示："恶意意图通过自然语言提示而非显式网络回调或硬编码端点表达，使传统检测方法变得复杂。随着AI助手越来越多地集成到开发者工作流中，它们也扩大了攻击面。任何能够调用它们的工具都继承了它们的影响范围。"

Q&A

Q1：UNC6426是如何在这么短时间内获得AWS管理员权限的？

A：UNC6426首先通过nx npm包供应链攻击窃取了开发者的GitHub令牌，然后利用该令牌进行侦察并获取GitHub服务账户凭据，最后滥用GitHub到AWS的OIDC信任关系创建新的管理员角色，整个过程在72小时内完成。

Q2：QUIETVAULT是什么，它是如何工作的？

A：QUIETVAULT是一个JavaScript凭证窃取器，它通过postinstall脚本启动，利用端点上已安装的大语言模型工具来搜索并获取环境变量、系统信息和有价值的令牌，包括GitHub个人访问令牌，然后将数据上传到公共GitHub仓库。

Q3：如何防范类似的AI辅助供应链攻击？

A：建议使用防止postinstall脚本的包管理器、对CI/CD账户应用最小权限原则、使用短期细粒度访问令牌、监控异常IAM活动、实施影子AI风险检测控制，以及加强对开发者工具中集成AI助手的安全管控。