Krypto-Wallets im Visier eines mit SAP verbundenen npm-Lieferkettenangriffs

Vier npm-Pakete, die mit dem Cloud Application Programming Model von SAP verbunden waren, wurden gestohlen. Die Hacker fügten Code hinzu, der Krypto-Wallets, Cloud-dentund SSH-Schlüssel von Entwicklern stiehlt.

Laut einem Bericht von Socket sind folgende Paketversionen betroffen:

• [email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].

Diese Pakete verzeichnen zusammen wöchentlich rund 572.000 Downloads aus der SAP-Entwicklergemeinschaft.

npm-Pakete stehlen Cloud-dentund Krypto-Wallets

Sicherheitsforscher erklärten, dass die gehackten Pakete ein Skript vorinstallieren, das eine Bun-Laufzeitumgebung von GitHub herunterlädt und ausführt. Anschließend wird eine verschleierte 11,7 MB große JavaScript-Nutzlast ausgeführt.

Die ursprünglichen SAP-Quelldateien sind noch vorhanden, es gibt aber drei zusätzliche neue Dateien:

• eine modifizierte package.json.
• setup.mjs.
• execution.js.

Diese Dateien wurden erst Stunden nach dem eigentlichen Quellcode mit einem Zeitstempel versehen. Dies beweist, dass die Tarballs nach dem Herunterladen von einer echten Quelle verändert wurden.

Socket bezeichnete es als „tronSignal einer koordinierten, automatisierten Einschleusungskampagne“, dass das Loader-Skript in allen vier Paketen byteidentisch istdentobwohl sie sich in zwei verschiedenen Namensräumen befinden.

Beim Ausführen der Payload wird geprüft, ob das System auf Russisch eingestellt ist; falls ja, wird der Vorgang abgebrochen. Anschließend verzweigt sich die Ausführung, je nachdem, ob eine CI/CD-Umgebung gefunden wird. Hierfür werden 25 Plattformvariablen geprüft, beispielsweise GitHub Actions, CircleCI und Jenkins, oder es handelt sich um eine Entwickler-Workstation.

Auf Entwicklerrechnern liest die Malware über 80 verschiedene Arten vondent. Dazu gehören private SSH-Schlüssel, AWS- und Azure-dent, Kubernetes-Konfigurationen, npm- und Docker-Tokens, Umgebungsvariablen und Krypto-Wallets auf elf verschiedenen Plattformen. Sie hat es außerdem auf Konfigurationsdateien für KI-Tools wie Claude und Kiro MCP-Einstellungen abgesehen.

Die Nutzdaten sind zweifach verschlüsselt. Eine Funktion namens `__decodeScrambled()` verwendet PBKDF2 mit 200.000 SHA-256-Iterationen und einem Salt namens „ctf-scramble-v2“, um die zum Entschlüsseln benötigten Schlüssel zu erhalten.

Funktionsname, Algorithmus, Salt und Iterationsanzahl stimmen mit denen früherer Checkmarx- und Bitwarden-Payloads überein. Dies deutet darauf hin, dass in mehreren Kampagnen dieselben Tools verwendet werden.

Socket überwacht die Aktivitäten unter dem Namen „TeamPCP“ und hat eine separate trac-Seite für die sogenannte „Mini-Shai-Hulud“-Kampagne erstellt.

Hacker zielen immer wieder auf Krypto-Entwickler ab

Die Kompromittierung des SAP-Pakets ist der jüngste Fall in einer Reihe von Lieferkettenangriffen, bei denen Paketmanager eingesetzt werden, umdentfür digitale Assets zu stehlen.

Wie Cryptopolitan damals Solana und Ethereum -Entwicklern stahlen und an einen Telegram-Bot sendeten. berichtete , entdeckten Forscher im März 2026 fünf Typosquatting-basierte npm-Pakete, die private Schlüssel von

Einen Monat später entdeckte ReversingLabs eine Kampagne namens PromptMink. Im Rahmen dieser Kampagne wurde ein schädliches Paket namens @validate-sdk/v2 durch einen KI-generierten Commit in ein Open-Source-Kryptohandelsprojekt eingeschleust.

Cryptopolitanberichtet über die Ergebnisse von ReversingLabs. Demnach zielte der Angriff, der mit der nordkoreanischen, staatlich geförderten Gruppe Famous Chollima in Verbindung gebracht wird, speziell aufdentund Systemgeheimnisse ab.

Der SAP-Angriff unterscheidet sich hinsichtlich Umfang und Richtung. Anstatt gefälschte Pakete mit ähnlichen Namen wie die echten zu erstellen, verschafften sich die Angreifer Zugang zu echten, weit verbreiteten Paketen, die im SAP-Namensraum gespeichert waren.

Sicherheitsforscher empfehlen Teams, die SAP CAP- oder MTA-basierte Bereitstellungspipelines verwenden, ihre Sperrdateien sofort auf die betroffenen Versionen zu überprüfen.

Entwickler, die diese Pakete während des Expositionszeitraums installiert haben, sollten alledentund Tokens ändern, die möglicherweise in ihren Build-Umgebungen vorhanden waren, und die CI/CD-Protokolle auf unerwartete Netzwerkanfragen oder Binärausführungen überprüfen.

Nach Angaben von Forschern scheint mindestens eine betroffene Version, @cap-js/[email protected], bereits von npm entfernt worden zu sein.