Der zugrunde liegende Supply-Chain-Angriff auf das npm-Paket nx fand im August 2025 statt. Unbekannte Akteure nutzten einen verwundbaren pull_request_target-Workflow aus – eine als „Pwn Request" bezeichnete Angriffsart –, um erhöhte Rechte zu erlangen und an sensible Daten zu gelangen, darunter ein GITHUB_TOKEN. Damit schleusten sie trojanisierte Versionen des Pakets in die npm-Registry ein.

Die manipulierten Pakete enthielten ein postinstall-Skript, das einen JavaScript-Credential-Stealer namens QUIETVAULT startete. Dieser griff Umgebungsvariablen, Systeminformationen und wertvolle Token ab, einschließlich GitHub Personal Access Tokens (PATs). Für die Suche missbrauchte QUIETVAULT ein auf dem Endgerät bereits installiertes Werkzeug für ein großes Sprachmodell (LLM). Die abgegriffenen Daten wurden in ein öffentliches GitHub-Repository mit dem Namen „/s1ngularity-repository-1" hochgeladen.

Nach Angaben von Google führte ein Mitarbeiter der betroffenen Organisation einen Code-Editor aus, der das Plugin Nx Console verwendete. Dadurch wurde ein Update angestoßen, in dessen Verlauf QUIETVAULT zur Ausführung kam.

UNC6426 begann zwei Tage nach der ersten Kompromittierung mit Aufklärungsaktivitäten in der GitHub-Umgebung des Kunden. Mit dem gestohlenen PAT und dem legitimen Open-Source-Werkzeug Nord Stream extrahierte der Akteur Geheimnisse aus CI/CD-Umgebungen und erbeutete so die Zugangsdaten eines GitHub-Dienstkontos. Über dieses Dienstkonto erzeugte er mithilfe des Parameters „–aws-role" temporäre Token des AWS Security Token Service (STS) für die Rolle „Actions-CloudFormation" und erlangte damit einen Fuß in der AWS-Umgebung des Opfers.

„Die kompromittierte Github-Actions-CloudFormation-Rolle war übermäßig berechtigt", erklärte Google. UNC6426 nutzte diese Berechtigung, um einen neuen AWS-Stack mit den Fähigkeiten „CAPABILITY_NAMED_IAM" und „CAPABILITY_IAM" auszurollen. Einziger Zweck dieses Stacks war es, eine neue IAM-Rolle zu erstellen und ihr die Richtlinie arn:aws:iam::aws:policy/AdministratorAccess zuzuweisen. Laut Google gelang dem Akteur damit in weniger als 72 Stunden der Aufstieg von einem gestohlenen Token zu vollständigen AWS-Administratorrechten.

Mit den neuen Administratorrollen ausgestattet, zählte der Akteur Objekte in S3-Buckets auf und griff darauf zu, beendete produktive EC2- und RDS-Instanzen und entschlüsselte Anwendungsschlüssel. In der letzten Phase wurden sämtliche internen GitHub-Repositories des Opfers in „/s1ngularity-repository-[Zufallszeichen]" umbenannt und öffentlich gemacht.

Zur Abwehr empfiehlt Google unter anderem Paketmanager oder Sandboxing-Werkzeuge, die postinstall-Skripte unterbinden, die konsequente Anwendung des Least-Privilege-Prinzips auf CI/CD-Dienstkonten und OIDC-gebundene Rollen sowie fein granulierte PATs mit kurzer Gültigkeit und eng begrenzten Repository-Rechten. Hinzu kommen das Entfernen dauerhafter Berechtigungen für riskante Aktionen wie das Anlegen von Administratorrollen, die Überwachung auf auffällige IAM-Aktivitäten und Kontrollen zur Erkennung von Shadow-AI-Risiken.

Die Sicherheitsfirma Socket beschreibt den Vorfall als KI-gestützten Supply-Chain-Missbrauch, bei dem die Ausführung an KI-Agenten ausgelagert wird, die bereits über privilegierten Zugriff auf Dateisystem, Zugangsdaten und authentifizierte Werkzeuge des Entwicklers verfügen. „Die bösartige Absicht wird in Eingabeaufforderungen in natürlicher Sprache ausgedrückt statt in expliziten Netzwerk-Rückrufen oder fest codierten Endpunkten, was herkömmliche Erkennungsansätze erschwert", so das Unternehmen. Je stärker KI-Assistenten in Entwickler-Arbeitsabläufe eingebunden würden, desto größer werde die Angriffsfläche – jedes Werkzeug, das sie aufrufen könne, erbe ihre Reichweite.