هجوم سلسلة التوريد على nx يفتح أبواب AWS خلال 72 ساعة
🗓 الأربعاء - 11 مارس 2026، 12:20 مساءً |
⏱ 3 دقيقة |
👁 12 مشاهدة
هجوم سلسلة التوريد على nx مكّن UNC6426 من اختراق AWS خلال 72 ساعة عبر رموز GitHub، مع تسريب بيانات وتخريب الإنتاج.كيف كشف هجوم سلسلة التوريد على nx ثغرات السحابة؟وفق تقرير تهديدات السحابة للنصف الأول 2026، استغل الفاعل UNC6426 مفاتيح مسروقة من اختراق حزمة nx على npm في أغسطس 2025. وخلال 72 ساعة فقط تحولت الإصابة إلى سيطرة شبه كاملة على بيئة العميل السحابية.البداية كانت بسرقة رمز GitHub لمطور ثم استخدامه للدخول إلى مستودعات المؤسسة وبوابات CI/CD. ووفق متابعة تيكبامين، أدى ذلك إلى إساءة استخدام الثقة بين GitHub وAWS عبر OIDC لإنشاء دور إداري جديد.بداية سلسلة الهجومسرقة توكن GitHub من جهاز مطور.استغلال الثقة بين GitHub Actions وAWS.إنشاء دور بامتيازات مدير سحابي.ما الذي حدث داخل GitHub وAWS خلال 72 ساعة؟بعد يومين من الاختراق بدأت مرحلة الاستطلاع داخل GitHub باستخدام PAT مسروق، ما كشف أسراراً إضافية لحساب خدمة. بعدها تولدت رموز مؤقتة عبر AWS STS لمنح المهاجم موطئ قدم داخل السحابة.الصلاحيات الواسعة لدور Actions-CloudFormation سمحت بإنشاء حزمة بنية تمنح إدارة IAM، ثم جرى استخراج ملفات من S3 وتنفيذ حذف لبيانات إنتاجية. هذا التدرج السريع يوضح خطورة الربط غير المقيد بين التطوير والسحابة.أدوات وتقنيات استخدمها المهاجمأداة Nord Stream لاستخراج أسرار CI/CD.خيار --aws-role لتوليد رموز STS مؤقتة.إنشاء Stack بقدرات CAPABILITY_NAMED_IAM وCAPABILITY_IAM.توسيع الوصول إلى مستودعات GitHub والخدمات السحابية.المهاجمون ركزوا على الملفات الحساسة في S3 وسجلات البنية التحتية، مع محاولات لطمس الأثر. هذا السلوك يشير إلى عمليات منسقة وليست عشوائية.كيف عملت أداة QUIETVAULT على سرقة الرموز؟الاختراق الأصلي لسلسلة التوريد جاء عبر ثغرة pull_request_target المعروفة باسم Pwn Request، ما سمح برفع نسخ ملغمة إلى npm. هذه النسخ أضافت سكربت postinstall يشغل أداة سرقة بيانات باسم QUIETVAULT.QUIETVAULT استخدمت أداة LLM مثبتة محلياً للبحث عن متغيرات البيئة والرموز القيّمة، ثم رفعتها إلى مستودع عام باسم /s1ngularity-repository-1. تشغيل إضافة Nx Console في محرر أحد الموظفين أدى إلى تحديث تلقائي شغّل الأداة.ما البيانات التي استهدفتها البرمجية؟متغيرات البيئة الحساسة وبيانات النظام.رموز GitHub الشخصية PAT.مفاتيح الوصول الخاصة بخدمات CI/CD.معلومات تساعد على التحرك داخل الشبكة.ما الدروس الأمنية بعد اختراق سلسلة التوريد؟التحليل يُظهر أن وجود صلاحيات مفرطة لدور واحد كان كافياً لتوسيع الاختراق بسرعة. كما أن غياب آليات تدوير الرموز ومراجعة الثقة بين الخدمات زاد من أثر الهجوم.وتوصي تيكبامين بتطبيق مبدأ أقل الصلاحيات، وتقييد أدوار GitHub Actions، ومراقبة سجل النشر في npm، مع تنبيهات لحظية عند إنشاء أدوار IAM جديدة.تحديد سياسات دقيقة للـ OIDC بين GitHub وAWS.تجميد التحديثات الآلية للحزم الحرجة حتى المراجعة.عزل بيئات التطوير عن الإنتاج قدر الإمكان.تدوير الرموز وتفعيل MFA للحسابات الخدمية.في النهاية يثبت أن أمن السحابة يبدأ من سلسلة التبعيات. إذا كانت مؤسستك تعتمد على npm وGitHub Actions، فمراجعة هجوم سلسلة التوريد على nx خطوة عملية لتقليل المخاطر قبل أن تتحول إلى خسائر.