Một tác nhân đe dọa được biết đến với tên UNC6426 đã khai thác các khóa bị đánh cắp sau sự cố xâm nhập chuỗi cung ứng của gói nx npm vào năm ngoái để xâm nhập hoàn toàn môi trường đám mây của nạn nhân trong vòng 72 giờ.
Cuộc tấn công bắt đầu bằng việc đánh cắp GitHub token của nhà phát triển, sau đó tác nhân đe dọa này đã sử dụng nó để truy cập trái phép vào đám mây và đánh cắp dữ liệu.
"Tác nhân đe dọa, UNC6426, sau đó đã sử dụng quyền truy cập này để lạm dụng sự tin cậy của GitHub-to-AWS OpenID Connect (OIDC) và tạo một vai trò quản trị viên mới trong môi trường đám mây," Google cho biết trong Báo cáo Chân trời Đe dọa Đám mây (Cloud Threat Horizons Report) cho nửa đầu năm 2026. "Họ đã lạm dụng vai trò này để trích xuất các tệp từ các S3 buckets của dịch vụ Amazon Web Services (AWS) Simple Storage Service (S3) của khách hàng và thực hiện hành vi phá hủy dữ liệu trong môi trường đám mây sản xuất của họ."
Cuộc tấn công chuỗi cung ứng nhắm vào gói nx npm đã diễn ra vào tháng 8 năm 2025, khi các tác nhân đe dọa không xác định đã khai thác một workflow pull_request_target dễ bị tổn thương – một kiểu tấn công được gọi là Pwn Request – để có được đặc quyền nâng cao và truy cập dữ liệu nhạy cảm, bao gồm GITHUB_TOKEN, và cuối cùng đẩy các phiên bản trojan hóa của gói lên npm registry.
Các gói này được phát hiện có nhúng một postinstall script, lần lượt khởi chạy một JavaScript credential stealer có tên QUIETVAULT để lấy cắp environment variables, system information và các tokens có giá trị, bao gồm GitHub Personal Access Tokens (PATs), bằng cách vũ khí hóa một công cụ Large Language Model (LLM) đã được cài đặt trên endpoint để thực hiện tìm kiếm. Dữ liệu đã được tải lên một kho lưu trữ GitHub công khai có tên "/s1ngularity-repository-1."
Google cho biết một nhân viên tại tổ chức nạn nhân đã chạy ứng dụng trình chỉnh sửa mã sử dụng plugin Nx Console, kích hoạt một bản cập nhật trong quá trình này và dẫn đến việc thực thi QUIETVAULT.
UNC6426 được cho là đã khởi xướng các hoạt động reconnaissance trong môi trường GitHub của khách hàng bằng cách sử dụng PAT bị đánh cắp hai ngày sau sự xâm nhập ban đầu, sử dụng một công cụ mã nguồn mở hợp pháp có tên Nord Stream để trích xuất secrets từ các môi trường CI/CD, làm rò rỉ credentials cho một GitHub service account.
Sau đó, những kẻ tấn công đã tận dụng service account này và sử dụng tham số "--aws-role" của tiện ích để tạo các AWS Security Token Service (STS) tokens tạm thời cho vai trò "Actions-CloudFormation" và cuối cùng cho phép chúng có được một chỗ đứng trong môi trường AWS của nạn nhân.
"Vai trò Github-Actions-CloudFormation bị xâm phạm đã có quá nhiều quyền," Google cho biết. "UNC6426 đã sử dụng quyền này để triển khai một AWS Stack mới với các capabilities ["CAPABILITY_NAMED_IAM","CAPABILITY_IAM"]. Mục đích duy nhất của stack này là tạo một IAM role mới và đính kèm policy arn:aws:iam::aws:policy/AdministratorAccess vào đó. UNC6426 đã leo thang thành công từ một token bị đánh cắp lên đầy đủ quyền quản trị viên AWS trong vòng chưa đầy 72 giờ."
Với các vai trò quản trị viên mới, tác nhân đe dọa đã thực hiện một loạt các hành động, bao gồm liệt kê và truy cập các đối tượng trong các S3 buckets, chấm dứt các phiên bản Elastic Compute Cloud (EC2) và Relational Database Service (RDS) sản xuất, và giải mã application keys. Trong giai đoạn cuối cùng, tất cả các kho lưu trữ GitHub nội bộ của nạn nhân đã được đổi tên thành "/s1ngularity-repository-[randomcharacters]" và được công khai.
Để chống lại các mối đe dọa như vậy, cần sử dụng các package managers ngăn chặn postinstall scripts hoặc các công cụ sandboxing, áp dụng nguyên tắc least privilege (PoLP) cho các tài khoản dịch vụ CI/CD và các vai trò liên kết OIDC, thực thi các PATs chi tiết với thời hạn hết hạn ngắn và quyền truy cập kho lưu trữ cụ thể, loại bỏ các đặc quyền thường trực cho các hành động rủi ro cao như tạo vai trò quản trị viên, giám sát các hoạt động IAM bất thường và triển khai các biện pháp kiểm soát mạnh mẽ để phát hiện rủi ro Shadow AI.
Sự cố này làm nổi bật một trường hợp được Socket mô tả là lạm dụng chuỗi cung ứng có hỗ trợ AI, nơi việc thực thi được giao cho các AI agents đã có quyền truy cập đặc quyền vào file system, credentials và các công cụ được xác thực của nhà phát triển.
"Ý đồ độc hại được thể hiện trong các natural-language prompts hơn là các network callbacks rõ ràng hoặc các hardcoded endpoints, làm phức tạp các phương pháp phát hiện thông thường," công ty bảo mật chuỗi cung ứng phần mềm cho biết. "Khi các AI assistants ngày càng được tích hợp vào các workflow của nhà phát triển, chúng cũng mở rộng bề mặt tấn công. Bất kỳ công cụ nào có khả năng gọi chúng đều thừa hưởng phạm vi tiếp cận của chúng."
