2026-04-30 00:00
← VoltarQuatro pacotes SAP NPM foram injetados com código malicioso como parte de um novo ataque à cadeia de suprimentos, alertam pesquisadores de segurança. A campanha, conhecida como Mini Shai-Hulud, tem como alvo pacotes vinculados ao ecossistema SAP Cloud Application Programming (CAP) e aos fluxos de trabalho de implantação em nuvem SAP. Em 29 de abril, quatro versões de pacotes foram sinalizadas como maliciosas, nomeadamente npm mbt 1.2.48, npm @cap-js/db-service 2.10.1, npm @cap-js/postgres 2.2.2 e npm @cap-js/sqlite 2.2.2. Com mais de 500.000 downloads semanais combinados, esses pacotes são a ferramenta Cloud MTA Build da SAP para a construção de arquivos de aplicativos multi-alvo e pacotes de serviços de banco de dados para software CAP. Esses pacotes, relatórios do Socket, foram injetados com um script de pré-instalação funcionando como um bootstrapper de tempo de execução. Quando executado, o script busca um Bun ZIP de um repositório GitHub, extrai-o e executa o binário Bun incluído. De acordo com Onapsis, as versões do pacote malicioso ficaram disponíveis por 2 a 4 horas. Desde então, eles não foram publicados e versões limpas foram lançadas para substituí-los.
Anúncio. Role para continuar lendo. O código malicioso entregue por meio dos pacotes comprometidos é um ladrão de informações que tem como alvo credenciais locais, tokens GitHub e NPM e AWS, Azure, GCP, GitHub Action, Kubernetes e outros segredos da nuvem. O malware os exfiltra por meio de repositórios públicos do...
Quatro pacotes SAP NPM foram injetados com código malicioso como parte de um novo ataque à cadeia de suprimentos, alertam pesquisadores de segurança. A campanha, conhecida como Mini Shai-Hulud, tem como alvo pacotes vinculados ao ecossistema SAP Cloud Application Programming (CAP) e aos fluxos de trabalho de implantação em nuvem SAP. Em 29 de abril, quatro versões de pacotes foram sinalizadas como maliciosas, nomeadamente npm mbt 1.2.48, npm @cap-js/db-service 2.10.1, npm @cap-js/postgres 2.2.2 e npm @cap-js/sqlite 2.2.2. Com mais de 500.000 downloads semanais combinados, esses pacotes são a ferramenta Cloud MTA Build da SAP para a construção de arquivos de aplicativos multi-alvo e pacotes de serviços de banco de dados para software CAP. Esses pacotes, relatórios do Socket, foram injetados com um script de pré-instalação funcionando como um bootstrapper de tempo de execução. Quando executado, o script busca um Bun ZIP de um repositório GitHub, extrai-o e executa o binário Bun incluído. De acordo com Onapsis, as versões do pacote malicioso ficaram disponíveis por 2 a 4 horas. Desde então, eles não foram publicados e versões limpas foram lançadas para substituí-los.
Anúncio. Role para continuar lendo. O código malicioso entregue por meio dos pacotes comprometidos é um ladrão de informações que tem como alvo credenciais locais, tokens GitHub e NPM e AWS, Azure, GCP, GitHub Action, Kubernetes e outros segredos da nuvem. O malware os exfiltra por meio de repositórios públicos do GitHub que possuem a descrição codificada “Um Mini Shai-Hulud apareceu”. O malware também inclui um mecanismo de propagação. De acordo com o Aikido, a ameaça verifica os fluxos de trabalho de lançamento do GitHub Actions e, em seguida, modifica os tarballs do pacote para adicionar a carga útil, modificar suas versões, reempacotá-los e usar tokens roubados do GitHub Actions para publicá-los. O ecossistema NPM da SAP provavelmente foi atingido por um token NPM comprometido que foi exposto a construções de pull request via CircleCI, diz Aikido. Como sublinha Onapsis, o ataque à cadeia de abastecimento Mini Shai-Hulud representa uma grande ameaça para desenvolvedores e organizações que utilizam SAP CAP, que é a estrutura para extensões S/4HANA, back-ends de aplicativos Fiori, MTAs e fluxos de integração.
“Qualquer cliente SAP com desenvolvimento em JavaScript pode inserir pacotes @sap/* e @cap-js/* em seus pipelines de construção, frequentemente com intervalos de versões vagos e muitas dependências transitivas”, observa Onapsis. Todas as organizações que usam fluxos de trabalho do SAP Business Technology Platform, SAP CAP ou pipelines de implantação baseados em MTA devem verificar se instalaram versões de pacotes maliciosos durante a janela de exposição. Com base em sobreposições técnicas e padrões operacionais, a empresa de segurança cibernética Wiz atribui o incidente ao notório grupo de hackers TeamPCP, que reivindicou vários ataques à cadeia de abastecimento nos últimos meses. "Essa avaliação se deve a uma chave pública RSA compartilhada usada para criptografar os segredos exfiltrados. Isso significa que a mesma chave privada descriptografaria as cargas úteis, limitando a acessibilidade dos dados exfiltrados ao TeamPCP", observa Wiz. Relacionado: Falha crítica do Gemini CLI habilitada para execução de código de host, ataques à cadeia de suprimentos Relacionado: Checkmarx confirma dados roubados em ataque à cadeia de suprimentos Relacionado: Pacote Bitwarden NPM atingido em ataque à cadeia de suprimentos Relacionado: Mercor atingido por ataque à cadeia de suprimentos LiteLLM