概要

UNC6426と呼ばれる脅威アクターが、nx npmパッケージのサプライチェーン攻撃を悪用し、開発者のGitHubトークンを盗み、72時間以内に被害者のクラウド環境を完全に侵害しました。

攻撃の詳細

UNC6426は、2025年8月に発生したnx npmパッケージのサプライチェーン攻撃を悪用しました。この攻撃では、脆弱なpull_request_targetワークフローが悪用され、未知の脅威アクターが昇格した権限と機密データへのアクセスを獲得しました。

その後、パッケージにtrojan化されたバージョンがnpmレジストリにプッシュされ、これらのパッケージはpostinstallスクリプトを含んでいました。このスクリプトは、QUIETVAULTと呼ばれるJavaScriptの資格情報窃取ツールを起動し、環境変数、システム情報、GitHubパーソナルアクセストークン（PAT）などの貴重なトークンを抽出しました。

攻撃の展開

• UNC6426は、最初の侵害から2日後に、GitHub環境内で調査活動を開始しました。
• 攻撃者は、Nord Streamという正当なオープンソースツールを使用して、CI/CD環境からシークレットを抽出し、GitHubサービスアカウントの資格情報を漏洩しました。
• その後、攻撃者はこのサービスアカウントを使用して、
  

  ---

  元記事: https://thehackernews.com/2026/03/unc6426-exploits-nx-npm-supply-chain.html