Vägivallsete SAP npm-pakettide eesmärk on krüptorahakoti andmed

Varas neli npm-paketti, mis olid seotud SAP-i pilveteenuste programmeerimismudeliga, varastati. Häkkerid lisasid koodi, mis varastab arendajate krüptovaluutaportfellid, pilveteenuste identifitseerimisandmed ja SSH-võtmed.

Socketi raporti kohaselt kuuluvad mõjutatud paketiversioonid järgmiste hulka:

• [email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].

Need paketid saavad kokku umbes 572 000 allalaadimist nädalas SAP-i arendajate ühiskonnalt.

npm-paketid varastavad pilveteenuste identifitseerimisandmeid ja krüptovaluutaportfellid

Turvauuringute teadlased selgitasid, et rünnatud paketid paigaldavad eelnevalt skripti, mis laeb alla ja käivitab GitHub’ist Bun runtime’i binaarfaili. Seejärel käivitatakse segatud 11,7 MB suurune JavaScript-kood.

Algne SAP-i lähtekood on endiselt olemas, kuid lisaks on kolm uut faili:

• muudetud package.json.
• setup.mjs.
• execution.js.

Nende failide ajatemplid on märgitud tundide võrra hiljem kui tegeliku koodi ajatemplid. See näitab, et tarballid muudeti pärast allalaadimist originaalkohast.

Socket nimetas seda „tugevaks märgiks koordineeritud ja automaatselt toimuvast sisestuskampaaniast“, sest laaduriskript on kõigis neljas paketis bait-täpselt identne, kuigi need kuuluvad kahte erinevasse nimeruumi.

Kui kood käivitub, kontrollib see, kas süsteem on seadistatud vene keelele, ja peatab oma töö, kui nii on. Seejärel teeb see haru, sõltuvalt sellest, kas tuvastab CI/CD-keskkonna – kontrollides 25 platvormimuutujat, näiteks GitHub Actions, CircleCI ja Jenkins või arendaja töölaua.

Arendajate arvutites loeb mürgikood üle 80 erinevat tüüpi identifitseerimisandmete faile. Need hõlmavad SSH privaatvõtmeid, AWS- ja Azure’i identifitseerimisandmeid, Kubernetesi seadistusfaile, npm- ja Dockeri tokene, keskkonna faile ning krüptovaluutaportfellid üheteistkümnel erineval platvormil. Lisaks sihib see AI-tööriistade (nt Claude ja Kiro MCP) seadistusfaile.

Kood kasutab kahte krüpteerimiskihti. Funktsioon nimega `__decodeScrambled()` kasutab PBKDF2-d koos 200 000 SHA-256 iteratsiooniga ja soolaga „ctf-scramble-v2“, et saada võtmed, millega dekrüpteerida midagi.

Funktsiooni nimi, algoritm, soola ja iteratsioonide arv on samad nagu varasemates Checkmarx’i ja Bitwardeni mürgikoodides. See viitab sellele, et sama tööriistu kasutatakse mitmes kampaanias.

Socket jälgib tegevust nimega „TeamPCP“ ja on loonud eraldi jälgimislehe, mille ta nimetab „mini-shai-hulud“ kampaaniaks.

Häkkerid ründavad krüptovaluutade arendajaid püsivalt

SAP-i pakettide kompromitteerumine on kõige viimane selles reas tarnekettel põhinevaid rünnakuid, mille eesmärk on varastada digitaalsete varade identifitseerimisandmeid paketihaldussüsteemide kaudu.

Nagu Cryptopolitan sel ajal teatas, leidsid teadlased märtsis 2026 viis typosquatted npm-paketti, mis varastasid Solana ja Ethereum’i arendajate privaatvõtmed ja saatnud need Telegrami botile.

Ühe kuu hiljem avastas ReversingLabs kampaania nimega PromptMink. Sel kampaanial lisati kurja pakett @validate-sdk/v2 avatud lähtekoodiga krüptovaluutade kauplemisprojektile AI-generaatori abil tehtud commit’i kaudu.

Cryptopolitan’i artikkel ReversingLabs’i leidude kohta ütleb, et see rünnak, mille seostati Põhja-Korea riigipoolse grupiga Famous Chollima, sihtis spetsiifiliselt krüptovaluutaportfellide identifitseerimisandmeid ja süsteemi saladusi.

SAP-i rünnak erineb suuruse ja suunaga. Selle asemel, et luua valepakette, mille nimed meenutavad tegelikke pakette, sattusid ründajad pärisesse, laialdaselt kasutatavasse paketisse, mille hoias SAP oma nimeruumis.

Turvateadlased soovitavad kohtadele, kes kasutavad SAP CAP-i või MTA-põhiseid deploy-kanalaid, kontrollida kohe oma lockfailis mõjutatud versioone.

Arendajad, kes paigaldasid need paketid ohustatud perioodil, peaksid muutma kõiki identifitseerimisandmeid ja tokene, mis võisid olla saadaval nende build-keskkonnas, ning kontrollima CI/CD logisid ootamatute võrgupäringute või binaarfailide käivitamise kohta.

Teadlaste andmetel on vähemalt üks mõjutatud versioon, @cap-js/[email protected], juba npm-ist eemaldatud.

Teie pank kasutab teie raha. Te saate alles jäägid. Vaadake meie tasuta videot selle kohta, kuidas saada ise oma pank