Die Hackergruppe UNC6426 hat eine Supply-Chain-Kompromittierung des beliebten npm-Pakets nx für einen gezielten Angriff ausgenutzt. Wie Google in seinem Bericht “Cloud Threat Horizons Report for H1 2026” dokumentiert, infiltrierten die Angreifer die AWS-Infrastruktur ihres Opfers in weniger als 72 Stunden und erlangten vollständige Administrator-Rechte.
Die Angriffskette begann mit dem Diebstahl eines Entwickler-Tokens von GitHub. Im August 2025 hatten unbekannte Akteure eine Sicherheitslücke im nx-Paket ausgenutzt, indem sie einen anfälligen Pull-Request-Workflow – bekannt als “Pwn Request” – missbrauchten. Diese Exploit-Methode verschaffte ihnen Zugriff auf sensitive Informationen, einschließlich GitHub-Tokens, die sie dann nutzten, um manipulierte Paketversionen ins npm-Registry zu übertragen.
Die manipulierten Versionen enthielten ein postinstall-Skript, das einen JavaScript-basierten Credential-Stealer namens QUIETVAULT aktivierte. Dieser nutzte ein bereits auf dem System installiertes Large-Language-Model-Tool, um Umgebungsvariablen, Systeminformationen und GitHub Personal Access Tokens abzugreifen. Die gestohlenen Daten wurden in ein öffentliches GitHub-Repository namens “/s1ngularity-repository-1” hochgeladen.
Der Kompromittierungsprozess startete, als ein Mitarbeiter die Nx-Console-Erweiterung in einem Code-Editor nutzte, was ein automatisches Update und die Ausführung von QUIETVAULT auslöste. Zwei Tage später nutzte UNC6426 das gestohlene Token für Aufklärungsaktivitäten im GitHub-Umfeld. Mit dem Open-Source-Tool “Nord Stream” extrahierten sie zusätzliche Geheimnisse aus der CI/CD-Umgebung und erbeuteten Credentials eines GitHub-Service-Accounts.
Mit diesem Service-Account generierten die Angreifer temporäre AWS Security Token Service (STS)-Token für die Rolle “Actions-CloudFormation”. Ein kritischer Fehler der Zielorganisation war die zu permissive Konfiguration dieser Rolle. UNC6426 nutzte diese Schwachstelle aus, um einen neuen AWS Stack mit IAM-Capabilities bereitzustellen, der allein dem Zweck diente, eine neue IAM-Rolle mit vollständigen Administrator-Berechtigungen zu erstellen.
Mit den neu gewonnenen Administrator-Rollen führten die Angreifer eine Serie destruktiver Aktionen durch: Sie enumerierten und exfiltrierten Daten aus S3-Buckets, stoppten Production-Instanzen von Elastic Compute Cloud (EC2) und Relational Database Service (RDS), und verschlüsselten Anwendungsschlüssel. Abschließend benannten sie alle internen GitHub-Repositories nach dem Muster “/s1ngularity-repository-[Zufallszeichen]” um und machten diese öffentlich.
Google und die Software Supply Chain Security Firma Socket charakterisieren diesen Vorfall als KI-gestützten Supply-Chain-Missbrauch. Die Besonderheit liegt darin, dass die Schadensabsicht durch natürlichsprachliche Prompts an KI-Agenten vermittelt wird, anstatt über klassische Netzwerk-Callbacks oder hart codierte Endpoints. Dies erschwert traditionelle Erkennungsmethoden erheblich.
Zum Schutz gegen solche Angriffe empfehlen Sicherheitsexperten mehrere Maßnahmen: Paketmanager mit Deaktivierung von postinstall-Skripten oder Sandboxing-Tools nutzen, das Prinzip der minimalen Berechtigung (PoLP) auf CI/CD-Service-Accounts und OIDC-verknüpfte Rollen anwenden, Fine-grained Personal Access Tokens mit kurzen Gültigkeitsdauern durchsetzen, Standing Privileges für sensible Operationen wie die Erstellung von Administrator-Rollen entfernen, anomale IAM-Aktivitäten überwachen und starke Kontrollen zur Erkennung von Shadow-AI-Risiken implementieren. Mit der zunehmenden Integration von KI-Assistenten in Entwickler-Workflows erweitert sich auch die potenzielle Angriffsfläche erheblich.