Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

UNC6426 Exploits nx npm Supply-Chain Attack to Gain AWS Admin Access in 72 Hours

1 minute de lecture

Mis à jour :

Compromis de la chaîne d’approvisionnement et escalade de privilèges vers AWS

Le groupe de menace UNC6426 a réussi à compromettre totalement un environnement AWS en seulement 72 heures en exploitant une attaque par chaîne d’approvisionnement visant le paquet npm nx.

Points clés :

  • Vecteur initial : Une vulnérabilité de type “Pwn Request” dans un workflow GitHub a permis d’injecter des versions malveillantes du paquet nx contenant le malware QUIETVAULT.
  • Méthode d’exécution : Le malware utilise des outils d’IA locale installés sur le poste du développeur pour scanner les fichiers, exfiltrer des jetons d’accès (PAT) et des variables d’environnement.
  • Escalade : À l’aide des jetons volés, les attaquants ont utilisé l’outil Nord Stream pour extraire des secrets CI/CD, puis ont abusé d’un rôle OIDC (OpenID Connect) excessivement permissif entre GitHub et AWS pour s’octroyer des privilèges administrateur complets.
  • Impact : Exfiltration de données S3, destruction de ressources de production (EC2/RDS) et compromission des dépôts GitHub.

Vulnérabilités :

  • Pwn Request : Exploitation du workflow pull_request_target pour obtenir des privilèges élevés sur le dépôt.
  • Abus de configuration IAM : Utilisation de rôles CI/CD (GitHub-Actions-CloudFormation) disposant de permissions trop larges, permettant la création de nouveaux rôles administrateurs via CloudFormation.

Recommandations :

  • Sécurisation des dépendances : Utiliser des gestionnaires de paquets capables de bloquer les scripts postinstall ou recourir au sandboxing.
  • Principe du moindre privilège (PoLP) : Restreindre strictement les permissions des comptes de service CI/CD et des rôles OIDC.
  • Gestion des jetons : Appliquer des jetons d’accès personnels (PAT) à durée de vie courte et aux permissions limitées (scope restreint).
  • Surveillance : Monitorer les activités IAM anormales et mettre en place des contrôles pour détecter les risques liés à l’“Ombre de l’IA” (Shadow AI) au sein des environnements de développement.

Source

Vous pourriez aimer

RIP RegPwn

1 minute de lecture

Mis à jour :

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows