{"id":214,"date":"2026-03-11T09:57:17","date_gmt":"2026-03-11T09:57:17","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/unc6426-aprovecha-el-ataque-a-la-cadena-de-suministro-de-nx-npm-para-obtener-acceso-de-administrador-de-aws-en-72-horas-cyberdefensa-mx\/"},"modified":"2026-03-11T09:57:17","modified_gmt":"2026-03-11T09:57:17","slug":"unc6426-aprovecha-el-ataque-a-la-cadena-de-suministro-de-nx-npm-para-obtener-acceso-de-administrador-de-aws-en-72-horas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/unc6426-aprovecha-el-ataque-a-la-cadena-de-suministro-de-nx-npm-para-obtener-acceso-de-administrador-de-aws-en-72-horas-cyberdefensa-mx\/","title":{"rendered":"UNC6426 aprovecha el ataque a la cadena de suministro de nx npm para obtener acceso de administrador de AWS en 72 horas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un actor de amenazas conocido como UNC6426<\/strong> claves apalancadas robadas tras el compromiso de la cadena de suministro del paquete nx npm el a\u00f1o pasado para violar completamente el entorno de nube de una v\u00edctima en un lapso de 72 horas.<\/p>\n

El ataque comenz\u00f3 con el robo del token GitHub de un desarrollador, que luego el actor de la amenaza utiliz\u00f3 para obtener acceso no autorizado a la nube y robar datos.<\/p>\n

\u00abEl actor de amenazas, UNC6426, luego utiliz\u00f3 este acceso para abusar de la confianza de GitHub-to-AWS OpenID Connect (OIDC) y crear una nueva funci\u00f3n de administrador en el entorno de la nube\u00bb, Google dicho<\/a> en su Informe Cloud Threat Horizons para el primer semestre de 2026. \u00abAbusaron de esta funci\u00f3n para exfiltrar archivos de los dep\u00f3sitos del Servicio de almacenamiento simple (S3) de Amazon Web Services (AWS) del cliente y realizaron la destrucci\u00f3n de datos en sus entornos de producci\u00f3n en la nube\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El ataque a la cadena de suministro dirigido al paquete nx npm tuvo lugar en agosto de 2025, cuando actores de amenazas desconocidos explotaron un flujo de trabajo vulnerable pull_request_target, un ataque<\/a> tipo<\/a> referido como Solicitud de Pwn<\/a> \u2013 para obtener privilegios elevados y acceder a datos confidenciales, incluido un GITHUB_TOKEN, y, en \u00faltima instancia, enviar versiones troyanizadas del paquete al registro npm.<\/p>\n

Se descubri\u00f3 que los paquetes incorporaban un script de postinstalaci\u00f3n que, a su vez, lanzaba un Ladr\u00f3n de credenciales de JavaScript<\/a> llamado QUIETVAULT para desviar variables de entorno, informaci\u00f3n del sistema y tokens valiosos, incluidos los tokens de acceso personal (PAT) de GitHub, utilizando como arma una herramienta de modelo de lenguaje grande (LLM) ya instalada en el punto final para realizar la b\u00fasqueda. Los datos se cargaron en un repositorio p\u00fablico de GitHub llamado \u00ab\/s1ngularity-repository-1\u00bb.<\/p>\n

Google dijo que un empleado de la organizaci\u00f3n v\u00edctima ejecut\u00f3 una aplicaci\u00f3n de edici\u00f3n de c\u00f3digo que usaba el complemento Nx Console, lo que provoc\u00f3 una actualizaci\u00f3n en el proceso y result\u00f3 en la ejecuci\u00f3n de QUIETVAULT.<\/p>\n

\"\"<\/a><\/div>\n

Se dice que UNC6426 inici\u00f3 actividades de reconocimiento dentro del entorno GitHub del cliente utilizando el PAT robado dos d\u00edas despu\u00e9s del compromiso inicial utilizando una herramienta leg\u00edtima de c\u00f3digo abierto llamada Corriente del Norte<\/a> para extraer secretos de entornos CI\/CD, filtrando las credenciales de una cuenta de servicio de GitHub.<\/p>\n

Posteriormente, los atacantes aprovecharon esta cuenta de servicio y utilizaron el par\u00e1metro \u00ab\u2013aws-role\u00bb de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol \u00abActions-CloudFormation\u00bb y, en \u00faltima instancia, permitirles obtener un punto de apoyo en el entorno AWS de la v\u00edctima.<\/p>\n

\u00abLa funci\u00f3n comprometida Github-Actions-CloudFormation era demasiado permisiva\u00bb, dijo Google. \u00abUNC6426 utiliz\u00f3 este permiso para implementar una nueva pila de AWS con capacidades [\u00abCAPABILITY_NAMED_IAM\u00bb,\u00bbCAPABILITY_IAM\u00bb]. El \u00fanico prop\u00f3sito de esta pila era crear una nueva funci\u00f3n de IAM y adjuntarle la pol\u00edtica arn:aws:iam::aws:policy\/AdministratorAccess. UNC6426 pas\u00f3 con \u00e9xito de un token robado a permisos completos de administrador de AWS en menos de 72 horas\u00bb.<\/p>\n

Armado con los nuevos roles de administrador, el actor de amenazas llev\u00f3 a cabo una serie de acciones, incluida la enumeraci\u00f3n y el acceso a objetos dentro de los dep\u00f3sitos de S3, la finalizaci\u00f3n de instancias de producci\u00f3n de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrado de claves de aplicaciones. En la etapa final, todos los repositorios internos de GitHub de la v\u00edctima pasaron a llamarse \u00ab\/s1ngularity-repository-[randomcharacters]\u00bb y hecho p\u00fablico.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Para contrarrestar tales amenazas, se recomienda utilizar administradores de paquetes que impidan scripts posteriores a la instalaci\u00f3n o herramientas de sandboxing, aplicar el principio de privilegio m\u00ednimo (PoLP) a las cuentas de servicio de CI\/CD y roles vinculados a OIDC, aplicar PAT detalladas con ventanas de vencimiento cortas y permisos de repositorio espec\u00edficos, eliminar privilegios permanentes para acciones de alto riesgo como la creaci\u00f3n de roles de administrador, monitorear actividades an\u00f3malas de IAM e implementar controles s\u00f3lidos para detectar riesgos de Shadow AI.<\/p>\n

El incidente destaca un caso de lo que Socket ha descrito como un abuso de la cadena de suministro asistido por IA, donde la ejecuci\u00f3n se descarga a agentes de IA que ya tienen acceso privilegiado al sistema de archivos, las credenciales y las herramientas autenticadas del desarrollador. <\/p>\n

\u00abLa intenci\u00f3n maliciosa se expresa en mensajes en lenguaje natural en lugar de devoluciones de llamadas de red expl\u00edcitas o puntos finales codificados, lo que complica los enfoques de detecci\u00f3n convencionales\u00bb, dijo la firma de seguridad de la cadena de suministro de software. dicho<\/a>. \u00abA medida que los asistentes de IA se integran m\u00e1s en los flujos de trabajo de los desarrolladores, tambi\u00e9n ampl\u00edan la superficie de ataque. Cualquier herramienta capaz de invocarlos hereda su alcance\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Un actor de amenazas conocido como UNC6426 claves apalancadas robadas tras el compromiso de la cadena de suministro del paquete nx npm el a\u00f1o pasado para violar completamente el entorno de nube de una v\u00edctima en un lapso de 72 horas. El ataque comenz\u00f3 con el robo del token GitHub de un desarrollador, que luego […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[68,69,734,181,736,249,24,737,277,735,36,250,733],"class_list":["post-214","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-acceso","tag-administrador","tag-aprovecha","tag-ataque","tag-aws","tag-cadena","tag-cyberdefensa-mx","tag-horas","tag-npm","tag-obtener","tag-para","tag-suministro","tag-unc6426"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=214"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/214\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}