Un actor de amenazas conocido como UNC6426 aprovechó claves robadas tras el compromiso de la cadena de suministro del paquete nx npm el año pasado para violar completamente el entorno en la nube de una víctima en un lapso de 72 horas. El ataque comenzó con el robo de un token de GitHub de un desarrollador, que el actor de amenazas utilizó luego para obtener acceso no autorizado a la nube y robar datos.
"El actor de amenazas, UNC6426, entonces usó este acceso para abusar de la confianza de OpenID Connect (OIDC) de GitHub a AWS y crear un nuevo rol de administrador en el entorno de nube", dijo Google en su informe Cloud Threat Horizons para el primer semestre de 2026. "Abusaron de este rol para exfiltrar archivos de los buckets de Amazon Web Services (AWS) Simple Storage Service (S3) del cliente y realizaron destrucción de datos en sus entornos de nube de producción".
El ataque a la cadena de suministro dirigido al paquete nx npm ocurrió en agosto de 2025, cuando actores de amenazas desconocidos explotaron un flujo de trabajo vulnerable de pull_request_target —un tipo de ataque denominado Pwn Request— para obtener privilegios elevados y acceder a datos sensibles, incluido un GITHUB_TOKEN, y finalmente enviar versiones troyanizadas del paquete al registro npm. Se descubrió que los paquetes contenían un script postinstall que, a su vez, lanzaba un recolector de credenciales JavaScript llamado QUIETVAULT para extraer variables de entorno, información del sistema y tokens valiosos, incluidos GitHub Personal Access Tokens (PATs), al weaponizar una herramienta de modelo de lenguaje grande (LLM) ya instalada en el endpoint para escanear el sistema en busca de información sensible. Los datos capturados luego se subían a un repositorio público de GitHub llamado "/s1ngularity-repository-1".
Google dijo que un empleado de la organización víctima ejecutó una aplicación de editor de código que usaba el plugin Nx Console, lo que desencadenó una actualización en el proceso y resultó en la ejecución de QUIETVAULT. Se dice que UNC6426 inició actividades de reconocimiento dentro del entorno de GitHub del cliente utilizando el PAT robado dos días después del compromiso inicial, usando una herramienta legítima de código abierto llamada Nord Stream para extraer secretos de entornos CI/CD, filtrando las credenciales de una cuenta de servicio de GitHub.
Posteriormente, los atacantes aprovecharon esta cuenta de servicio y usaron el parámetro "--aws-role" de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol "Actions-CloudFormation" y, en última instancia, obtener un punto de apoyo en el entorno AWS de la víctima. "El rol comprometido de GitHub-Actions-CloudFormation era excesivamente permisivo", dijo Google. "UNC6426 usó este permiso para implementar un nuevo Stack de AWS con capacidades ["CAPABILITY_NAMED_IAM", "CAPABILITY_IAM"]. El único propósito de este stack era crear un nuevo rol de IAM y adjuntarle la política arn:aws:iam::aws:policy/AdministratorAccess. UNC6426 escaló exitosamente de un token robado a permisos completos de administrador de AWS en menos de 72 horas".
Armado con los nuevos roles de administrador, el actor de amenazas realizó una serie de acciones, incluyendo enumerar y acceder a objetos dentro de buckets S3, terminar instancias de producción de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrar claves de aplicación. En la etapa final, todos los repositorios internos de GitHub de la víctima fueron renombrados a "/s1ngularity-repository-[caracteresaleatorios]" y hechos públicos.
Para contrarrestar tales amenazas, se recomienda usar gestores de paquetes que eviten scripts postinstall o herramientas de sandboxing, aplicar el principio de mínimo privilegio (PoLP) a las cuentas de servicio CI/CD y roles vinculados a OIDC, hacer cumplir PATs de grano fino con ventanas de expiración cortas y permisos específicos de repositorio, eliminar privilegios permanentes para acciones de alto riesgo como crear roles de administrador, monitorear actividad anómala de IAM, e implementar controles sólidos para detectar riesgos de Shadow AI.
El incidente destaca un caso de lo que Socket ha descrito como abuso de cadena de suministro asistido por IA, donde la ejecución se delega a agentes de IA que ya tienen acceso privilegiado al sistema de archivos del desarrollador, credenciales y herramientas autenticadas. "La intención maliciosa se expresa en indicaciones en lenguaje natural en lugar de devoluciones de llamada de red explícitas o puntos finales codificados, lo que complica los enfoques de detección convencionales", dijo la firma de seguridad de cadena de suministro de software. "A medida que los asistentes de IA se integran más en los flujos de trabajo de los desarrolladores, también expanden la superficie de ataque. Cualquier herramienta capaz de invocarlos hereda su alcance".
