一个名为UNC6426的威胁组织利用去年nx npm包供应链攻击中窃取的密钥,在72小时内完全入侵了受害者的云环境。
攻击始于开发者GitHub令牌的窃取,威胁组织随后利用该令牌获得对云环境的未授权访问并窃取数据。
Google在其2026年上半年云威胁地平线报告中表示:"威胁组织UNC6426随后利用这一访问权限滥用GitHub到AWS OpenID Connect信任关系,在云环境中创建了一个新的管理员角色。他们滥用该角色从客户的Amazon Web Services S3存储桶中窃取文件,并在其生产云环境中实施数据破坏。"
针对nx npm包的供应链攻击发生在2025年8月,当时未知威胁组织利用了一个易受攻击的pull_request_target工作流(这种攻击类型被称为Pwn Request)来获得提升的权限并访问敏感数据,包括GITHUB_TOKEN,最终将木马化版本的包推送到npm注册表。
这些包被发现嵌入了一个postinstall脚本,该脚本启动了一个名为QUIETVAULT的JavaScript凭证窃取器,通过武器化端点上已安装的大语言模型工具来搜索并获取环境变量、系统信息以及有价值的令牌,包括GitHub个人访问令牌。数据被上传到名为"/s1ngularity-repository-1"的公共GitHub仓库。
Google表示,受害组织的一名员工运行了使用Nx Console插件的代码编辑器应用程序,触发了更新过程,导致QUIETVAULT的执行。
据称,UNC6426在初次入侵两天后,使用窃取的个人访问令牌在客户的GitHub环境中开始侦察活动,使用名为Nord Stream的合法开源工具从CI/CD环境中提取秘密信息,泄露了GitHub服务账户的凭据。
随后,攻击者利用该服务账户并使用工具的"--aws-role"参数为"Actions-CloudFormation"角色生成临时AWS安全令牌服务令牌,最终使他们能够在受害者的AWS环境中获得立足点。
Google表示:"被入侵的Github-Actions-CloudFormation角色权限过度。UNC6426利用此权限部署了一个具有能力的新AWS堆栈。该堆栈的唯一目的是创建新的IAM角色并将管理员访问策略附加到其上。UNC6426在不到72小时内成功从窃取的令牌升级为完整的AWS管理员权限。"
拥有新的管理员角色后,威胁组织执行了一系列操作,包括枚举和访问S3存储桶中的对象、终止生产弹性计算云和关系数据库服务实例,以及解密应用程序密钥。在最后阶段,受害者的所有内部GitHub仓库都被重命名为"/s1ngularity-repository-[随机字符]"并公开。
为了对抗此类威胁,建议使用防止postinstall脚本或沙箱工具的包管理器,对CI/CD服务账户和OIDC链接角色应用最小权限原则,强制执行具有短过期窗口和特定仓库权限的细粒度个人访问令牌,移除创建管理员角色等高风险操作的常驻权限,监控异常IAM活动,并实施强控制来检测影子AI风险。
该事件突出了Socket描述的AI辅助供应链滥用案例,其中执行被卸载给已经拥有对开发者文件系统、凭据和认证工具特权访问的智能体。
软件供应链安全公司表示:"恶意意图通过自然语言提示而非显式网络回调或硬编码端点表达,使传统检测方法变得复杂。随着AI助手越来越多地集成到开发者工作流中,它们也扩大了攻击面。任何能够调用它们的工具都继承了它们的影响范围。"
Q&A
Q1:UNC6426是如何在这么短时间内获得AWS管理员权限的?
A:UNC6426首先通过nx npm包供应链攻击窃取了开发者的GitHub令牌,然后利用该令牌进行侦察并获取GitHub服务账户凭据,最后滥用GitHub到AWS的OIDC信任关系创建新的管理员角色,整个过程在72小时内完成。
Q2:QUIETVAULT是什么,它是如何工作的?
A:QUIETVAULT是一个JavaScript凭证窃取器,它通过postinstall脚本启动,利用端点上已安装的大语言模型工具来搜索并获取环境变量、系统信息和有价值的令牌,包括GitHub个人访问令牌,然后将数据上传到公共GitHub仓库。
Q3:如何防范类似的AI辅助供应链攻击?
A:建议使用防止postinstall脚本的包管理器、对CI/CD账户应用最小权限原则、使用短期细粒度访问令牌、监控异常IAM活动、实施影子AI风险检测控制,以及加强对开发者工具中集成AI助手的安全管控。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。