Une campagne attribuée à l’acteur UNC6426 illustre la rapidité avec laquelle une attaque peut se propager dans les environnements cloud modernes. En exploitant des clés dérobées lors de la compromission d’un package npm populaire, les attaquants ont réussi à obtenir un accès administrateur à un environnement AWS en moins de 72 heures.
De la supply chain logicielle au cloud
Une campagne d’attaque analysée par des chercheurs en cybersécurité met en lumière les risques liés aux dépendances logicielles dans les environnements de développement modernes. L’acteur malveillant, identifié sous le nom UNC6426, aurait exploité des clés compromises à la suite de l’attaque de la chaîne d’approvisionnement visant le package npm « nx », un outil largement utilisé dans les projets JavaScript.
L’opération débute par le vol d’un token GitHub appartenant à un développeur. Ce type d’identifiant permet d’accéder aux dépôts de code, aux workflows d’intégration continue et parfois à des secrets stockés dans les environnements de développement. Une fois ce jeton récupéré, l’attaquant peut progressivement étendre son accès aux ressources liées au projet. Dans ce cas précis, le jeton aurait servi de point d’entrée vers l’infrastructure cloud associée au projet, permettant aux attaquants de récupérer des informations sensibles et d’accéder à des ressources hébergées sur AWS.
Une compromission complète en trois jours
Selon l’analyse des chercheurs, l’attaque s’est déroulée à un rythme particulièrement rapide. En moins de 72 heures, les attaquants sont parvenus à élargir leur périmètre d’accès jusqu’à obtenir des privilèges administrateurs dans l’environnement cloud ciblé. La progression de l’attaque repose sur une série d’étapes classiques dans les compromissions modernes : exploitation d’un accès initial, collecte de secrets ou de clés d’API, exploration des ressources disponibles et élévation progressive des privilèges.
Les environnements de développement automatisés, qui relient étroitement les plateformes de code, les pipelines CI/CD et les infrastructures cloud, peuvent faciliter ces mouvements latéraux lorsqu’ils ne sont pas correctement cloisonnés.
La chaîne DevOps sous surveillance
Cet incident rappelle à quel point les environnements DevOps sont devenus des cibles privilégiées pour les cybercriminels. En s’attaquant aux dépendances logicielles ou aux comptes de développeurs, les attaquants peuvent parfois contourner des mécanismes de sécurité pourtant solides au niveau des infrastructures. La compromission d’un simple identifiant peut ainsi ouvrir la porte à l’ensemble d’une chaîne technologique reliant dépôts de code, outils de build et services cloud.
Pour les organisations, ces scénarios renforcent l’importance de plusieurs mesures totalement indispensables dont la surveillance des accès aux dépôts, la rotation régulière des clés et jetons, la limitation des privilèges et enfin l’isolation des environnements de développement et de production.
