文章总结: 公开资料显示,多个官方SAPnpm软件包遭TeamPCP供应链攻击,被植入恶意preinstall脚本,通过GitHub下载Bun运行时执行混淆代码,窃取开发者npm令牌、云凭证及CI/CD环境密钥。攻击采用内存扫描技术绕过日志掩码,并具备自我传播能力。建议开发者立即检查受影响软件包版本并更新至安全版本。 综合评分: 78 文章分类: 供应链安全,恶意软件,漏洞预警,安全运营,云安全
【安全圈】官方 SAP npm 软件包遭入侵,用于窃取凭证
安全圈
2026年5月3日 19:00 江苏
在小说阅读器读本章
去阅读
关键词
入侵
多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击,被入侵后用于窃取开发者系统中的凭证和身份验证令牌。
安全研究人员报告称,此次入侵影响了四个软件包,目前这些版本在 NPM 上已标记为弃用:
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – v2.10.1
- mbt – v1.2.48
这些软件包支持 SAP 的云应用程序编程模型(CAP)和云 MTA,常用于企业开发。
据 Aikido 和 Socket 的最新报告,遭入侵的软件包被修改,加入了恶意的 “preinstall” 脚本,在安装 npm 软件包时会自动执行。
该脚本会启动名为 setup.mjs 的加载程序,从 GitHub 下载 Bun JavaScript 运行时,并使用它来执行经过高度混淆的 execution.js 有效载荷。
此有效载荷是一个信息窃取程序,用于从开发者计算机和持续集成 / 持续交付(CI/CD)环境中窃取多种凭证,包括:
- npm 和 GitHub 身份验证令牌
- SSH 密钥和开发者凭证
- 亚马逊网络服务(AWS)、微软 Azure 和谷歌云的云凭证
- Kubernetes 配置和密钥
- CI/CD 管道密钥和环境变量
该恶意软件还尝试直接从 CI 运行程序的内存中提取密钥,这与 TeamPCP 在之前供应链攻击中提取凭证的方式类似。
Socket 解释说:“在 CI 运行程序上,有效载荷会执行一个嵌入的 Python 脚本,该脚本读取 Runner.Worker 进程的 /proc/
一旦收集到数据,它会被加密并上传到受害者账户下的公共 GitHub 存储库。这些存储库的描述为 “A Mini Shai – Hulud has Appeared”,这也与 Bitwarden 供应链攻击中出现的 “Shai – Hulud: The Third Coming” 字符串类似。
与之前的攻击类似,部署的有效载荷还包含自我传播到其他软件包的代码。
利用窃取的 npm 或 GitHub 凭证,它试图修改其获得访问权限的其他软件包和存储库,并注入相同的恶意代码以进一步传播。
研究人员有一定把握将此次攻击与 TeamPCP 威胁行为者联系起来,他们在之前针对 Trivy、Checkmarx 和 Bitwarden 的供应链攻击中使用过类似代码和策略。
虽然尚不清楚威胁行为者是如何入侵 SAP 的 npm 发布流程,但安全工程师阿德南・汗(Adnan Khan)报告称,可能是由于配置错误的 CircleCI 作业导致 NPM 令牌暴露。
BleepingComputer 联系了 SAP,以了解 npm 软件包是如何被入侵的,但截至发布时未收到回复。
END
阅读推荐
【安全圈】十天 39 个公开 CVE
【安全圈】苹果工程师忘删Claude.md文件被抓包:220万人次围观
【安全圈】程序员→网安尖兵,他“一战成名”!
【安全圈】新型Python后门DEEP#DOOR来袭:竟用公共隧道服务窃取云凭据
【安全圈】热门 WordPress 重定向插件暗藏休眠后门多年
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】官方 SAP npm 软件包遭入侵,用于窃取凭证》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论