Bezpečnostní výzkumníci odhalili sofistikovaný útok na dodavatelský řetězec, při kterém hrozba označovaná jako UNC6426 kompromitovala populární npm balíček nx a během pouhých 72 hodin získala plný administrátorský přístup k cloudové infrastruktuře AWS. Tento incident znovu upozorňuje na rostoucí rizika spojená s bezpečností open-source ekosystému a zranitelností v dodavatelských řetězcích softwarového vývoje.
Útočníci využili zranitelnost v procesu publikování balíčků na platformě npm, aby do široce používaného nástroje nx vložili škodlivý kód. Tento nástroj je oblíbený mezi vývojáři pro správu monorepo projektů a používají ho tisíce organizací po celém světě. Kompromitovaná verze balíčku obsahovala skrytý backdoor, který útočníkům umožnil postupně eskalovat oprávnění v napadených prostředích.
Průběh útoku a jeho dopady
Po úspěšném vložení škodlivého kódu do balíčku se malware aktivoval při běžné instalaci závislostí v rámci CI/CD pipeline napadených organizací. Útočníci následně zneužili přístupové tokeny a konfigurační soubory k postupnému pronikání do cloudových prostředí. Celý proces od počáteční kompromitace až po získání plného administrátorského přístupu k AWS trval pouhých 72 hodin, což svědčí o vysoké úrovni automatizace a připravenosti útočníků.
Incident zdůrazňuje naléhavou potřebu implementace robustních bezpečnostních opatření v oblasti DevSecOps, včetně důkladné kontroly integrity balíčků třetích stran, monitorování neobvyklých aktivit v cloudových prostředích a zavedení principu nejmenších oprávnění pro přístupové klíče a tokeny používané v automatizovaných procesech. Organizacím se doporučuje provést audit svých závislostí a zkontrolovat, zda nepoužívají kompromitované verze dotčeného balíčku.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
