Un actor de amenazas conocido como UNC6426 claves apalancadas robadas tras el compromiso de la cadena de suministro del paquete nx npm el año pasado para violar completamente el entorno de nube de una víctima en un lapso de 72 horas.
El ataque comenzó con el robo del token GitHub de un desarrollador, que luego el actor de la amenaza utilizó para obtener acceso no autorizado a la nube y robar datos.
«El actor de amenazas, UNC6426, luego usó este acceso para abusar de la confianza de GitHub a AWS OpenID Connect (OIDC) y crear una nueva función de administrador en el entorno de la nube», dijo Google en su Informe Cloud Threat Horizons para el primer semestre de 2026. «Abusaron de esta función para exfiltrar archivos de los depósitos del Servicio de almacenamiento simple (S3) de Amazon Web Services (AWS) del cliente y realizaron destrucción de datos en sus entornos de nube de producción».
El ataque a la cadena de suministro dirigido al paquete nx npm tuvo lugar en agosto de 2025, cuando actores de amenazas desconocidos explotaron un flujo de trabajo vulnerable pull_request_target (un tipo de ataque conocido como Pwn Request) para obtener privilegios elevados y acceder a datos confidenciales, incluido un GITHUB_TOKEN, y, en última instancia, enviar versiones troyanizadas del paquete al registro npm.
Se descubrió que los paquetes incrustaban un script posterior a la instalación que, a su vez, lanzaba un ladrón de credenciales de JavaScript llamado QUIETVAULT para desviar variables de entorno, información del sistema y tokens valiosos, incluidos los tokens de acceso personal (PAT) de GitHub, utilizando como arma una herramienta de modelo de lenguaje grande (LLM) ya instalada en el punto final para realizar la búsqueda. Los datos se cargaron en un repositorio público de GitHub llamado «/s1ngularity-repository-1».
Google dijo que un empleado de la organización víctima ejecutó una aplicación de edición de código que usaba el complemento Nx Console, lo que provocó una actualización en el proceso y resultó en la ejecución de QUIETVAULT.
Se dice que UNC6426 inició actividades de reconocimiento dentro del entorno GitHub del cliente utilizando el PAT robado dos días después del compromiso inicial utilizando una herramienta legítima de código abierto llamada Nord Stream para extraer secretos de entornos CI/CD, filtrando las credenciales de una cuenta de servicio GitHub.
Posteriormente, los atacantes aprovecharon esta cuenta de servicio y utilizaron el parámetro «–aws-role» de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol «Actions-CloudFormation» y, en última instancia, permitirles obtener un punto de apoyo en el entorno AWS de la víctima.
«La función comprometida Github-Actions-CloudFormation era demasiado permisiva», dijo Google. «UNC6426 usó este permiso para implementar una nueva pila de AWS con capacidades («CAPABILITY_NAMED_IAM»,»CAPABILITY_IAM»). El único propósito de esta pila era crear una nueva función de IAM y adjuntarle la política arn:aws:iam::aws:policy/AdministratorAccess. UNC6426 escaló con éxito desde un token robado a permisos completos de administrador de AWS en menos de 72 horas».
Armado con los nuevos roles de administrador, el actor de amenazas llevó a cabo una serie de acciones, incluida la enumeración y el acceso a objetos dentro de los depósitos de S3, la finalización de instancias de producción de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrado de claves de aplicaciones. En la etapa final, todos los repositorios internos de GitHub de la víctima pasaron a llamarse «/s1ngularity-repository-(randomcharacters)» y se hicieron públicos.
Para contrarrestar tales amenazas, se recomienda utilizar administradores de paquetes que impidan scripts posteriores a la instalación o herramientas de sandboxing, aplicar el principio de privilegio mínimo (PoLP) a las cuentas de servicio de CI/CD y roles vinculados a OIDC, aplicar PAT detalladas con ventanas de vencimiento cortas y permisos de repositorio específicos, eliminar privilegios permanentes para acciones de alto riesgo como la creación de roles de administrador, monitorear actividades anómalas de IAM e implementar controles sólidos para detectar riesgos de Shadow AI.
El incidente destaca un caso de lo que Socket ha descrito como un abuso de la cadena de suministro asistido por IA, donde la ejecución se descarga a agentes de IA que ya tienen acceso privilegiado al sistema de archivos, las credenciales y las herramientas autenticadas del desarrollador.
«La intención maliciosa se expresa en indicaciones en lenguaje natural en lugar de devoluciones de llamadas de red explícitas o puntos finales codificados, lo que complica los enfoques de detección convencionales», dijo la firma de seguridad de la cadena de suministro de software. «A medida que los asistentes de IA se integran más en los flujos de trabajo de los desarrolladores, también amplían la superficie de ataque. Cualquier herramienta capaz de invocarlos hereda su alcance».