2026-04-29 00:00
← VoltarVários pacotes oficiais SAP npm foram comprometidos no que se acredita ser um ataque à cadeia de suprimentos do TeamPCP para roubar credenciais e tokens de autenticação dos sistemas dos desenvolvedores. Pesquisadores de segurança relatam que o comprometimento impactou quatro pacotes, com as versões agora obsoletas no NPM: @cap-js/sqlite – v2.2.2 @cap-js/postgres – v2.2.2 @cap-js/db-service – v2.10.1 mbt – v1.2.48 Esses pacotes suportam o Cloud Application Programming Model (CAP) e o Cloud MTA da SAP, que são comumente usados no desenvolvimento empresarial. De acordo com novos relatórios do Aikido e Socket, os pacotes comprometidos foram modificados para incluir um script malicioso de ‘pré-instalação’ que é executado automaticamente quando o pacote npm é instalado. Este script inicia um carregador chamado setup.mjs que baixa o tempo de execução Bun JavaScript do GitHub e o usa para executar uma carga de execução.js altamente ofuscada. A carga útil é um ladrão de informações usado para roubar uma ampla variedade de credenciais de máquinas de desenvolvedores e ambientes de CI/CD, incluindo: tokens de autenticação npm e GitHub Chaves SSH e credenciais de desenvolvedor Credenciais de nuvem para AWS, Azure e Google Cloud Configuração e segredos do Kubernetes Segredos de pipeline de CI/CD e variáveis de ambiente O malware também tenta extrair segredos diretamente da memória do executor de CI, semelhante a como o TeamPCP extraiu credenciais em ataques anteriores à cadeia de...
Vários pacotes oficiais SAP npm foram comprometidos no que se acredita ser um ataque à cadeia de suprimentos do TeamPCP para roubar credenciais e tokens de autenticação dos sistemas dos desenvolvedores. Pesquisadores de segurança relatam que o comprometimento impactou quatro pacotes, com as versões agora obsoletas no NPM: @cap-js/sqlite – v2.2.2 @cap-js/postgres – v2.2.2 @cap-js/db-service – v2.10.1 mbt – v1.2.48 Esses pacotes suportam o Cloud Application Programming Model (CAP) e o Cloud MTA da SAP, que são comumente usados no desenvolvimento empresarial. De acordo com novos relatórios do Aikido e Socket, os pacotes comprometidos foram modificados para incluir um script malicioso de ‘pré-instalação’ que é executado automaticamente quando o pacote npm é instalado. Este script inicia um carregador chamado setup.mjs que baixa o tempo de execução Bun JavaScript do GitHub e o usa para executar uma carga de execução.js altamente ofuscada. A carga útil é um ladrão de informações usado para roubar uma ampla variedade de credenciais de máquinas de desenvolvedores e ambientes de CI/CD, incluindo: tokens de autenticação npm e GitHub Chaves SSH e credenciais de desenvolvedor Credenciais de nuvem para AWS, Azure e Google Cloud Configuração e segredos do Kubernetes Segredos de pipeline de CI/CD e variáveis de ambiente O malware também tenta extrair segredos diretamente da memória do executor de CI, semelhante a como o TeamPCP extraiu credenciais em ataques anteriores à cadeia de suprimentos. "Em executores de CI, a carga útil executa um script Python incorporado que lê /proc/<pid>/maps e /proc/<pid>/mem para o processo Runner.Worker extrair cada segredo correspondente "key" :{ "value": "...", "isSecret":true} diretamente da memória do executor, ignorando todo o mascaramento de log aplicado pela plataforma CI", explica Socket. “Este scanner de memória para segredos é estruturalmente idêntico ao documentado nos incidentes Bitwarden e Checkmarx.” Depois que os dados são coletados, eles são criptografados e carregados em repositórios públicos do GitHub na conta da vítima. Esses repositórios incluem a descrição "Um Mini Shai-Hulud apareceu", que também é semelhante à string "Shai-Hulud: The Third Coming" vista no ataque à cadeia de suprimentos da Bitwarden.
Repositórios do Github criados com uma descrição de "Um Mini Shai-Hulud apareceu" Fonte: Aikido O malware também depende de pesquisas de commit do GitHub como um mecanismo de descarte para recuperar tokens e obter acesso adicional. “O malware pesquisa commits do GitHub para esta string e usa mensagens de commit correspondentes como um token dead-drop”, explica o Aikido. "Mensagens de commit correspondentes a OhNoWhatsGoingOnWithGitHub:<base64> são decodificadas em tokens GitHub e verificadas quanto ao acesso ao repositório." Semelhante aos ataques anteriores, a carga implantada também inclui código para autopropagação para outros pacotes. Usando credenciais roubadas do npm ou do GitHub, ele tenta modificar outros pacotes e repositórios aos quais obtém acesso e injeta o mesmo código malicioso para se espalhar ainda mais. Os pesquisadores vincularam esse ataque com confiança média aos atores da ameaça TeamPCP, que usaram códigos e táticas semelhantes em ataques anteriores à cadeia de suprimentos contra Trivy, Checkmarx e Bitwarden. Embora não esteja claro como os agentes da ameaça comprometeram o processo de publicação npm da SAP, o engenheiro de segurança Adnan Khan relata que um token NPM pode ter sido exposto por meio de um trabalho CircleCI mal configurado. O BleepingComputer entrou em contato com a SAP para saber como os pacotes npm foram comprometidos, mas não recebeu resposta no momento da publicação.