UNC6426 ハッカーが NPM パッケージを悪用し AWS 管理者権限を72時間で獲得
UNC6426 ハッカーは、NPM パッケージを悪用して、わずか72時間で AWS 管理者権限を獲得しました。これは、CI/CD からクラウドへの信頼が、役割が過度に許可的である場合にどれほど脆いものであるかを示しています。
攻撃の経緯
被害組織の開発者がコードエディタプラグインを使用して影響を受けたパッケージを更新またはインストールした際、postinstall スクリプトが開発者のワークステーションで静かに実行されました。QUIETVAULT は、環境変数、設定ファイル、特に GitHub パーソナルアクセストークン(PAT)をスキャンし、盗まれたデータを攻撃者が制御する公開 GitHub リポジトリにエクスフィレートしました。
攻撃の展開
最初の侵害から2日後、UNC6426 は CI/CD 識別子に焦点を当てた経済的に動機づけられたクラスターを取得し、GitHub Actions と AWS の間の正当な OpenID Connect (OIDC) 信頼を悪用しました。NORDSTREAM の「–aws-role」機能を使用して、GitHub-Actions-CloudFormation という名前のロールに対する AWS Security Token Service (STS) 資格情報を一時的に生成しました。
影響
UNC6426 は、フル管理者権限を獲得するとすぐに、データ窃取と破壊的なアクションに移行しました。複数の S3 バケットのオブジェクトを列挙し、機密ファイルをエクスフィレートしました。また、重要な Elastic Compute Cloud (EC2) と Relational Database Service (RDS) インスタンスを終了して、運用を中断しました。
対策
被害者は、初期侵害から約3日後に不正な活動を検出し、迅速にアクセスを停止し、悪意のある IAM ロールを削除し、CI/CD 設定をクリーンアップしました。
結論
この攻撃は、CI/CD にリンクされたアイデンティティと OIDC 信頼が、厳密に範囲を定義されていない場合、単一の侵害された開発者マシンが完全なクラウドの取り締まりに変わる可能性があることを示しています。