Les meilleures analyses crypto directement dans votre boîte mail.
Des portefeuilles de cryptomonnaies ciblés dans une attaque de la chaîne d'approvisionnement npm liée à SAP
- Quatre véritables packages npm SAP ont été piratés.
- Les pirates ont ajouté un code permettant de voler les portefeuilles de cryptomonnaies, lesdentcloud et les clés SSH des développeurs.
- Ces packs enregistraient plus de 500 000 téléchargements par semaine.
Quatre packages npm liés au modèle de programmation d'applications cloud de SAP ont été dérobés. Les pirates y ont ajouté du code permettant de voler les portefeuilles de cryptomonnaies, lesdentcloud et les clés SSH des développeurs.
D'après un rapport de Socket, les versions des paquets concernées sont les suivantes :
- [email protégé].
- @cap-js/[email protected].
- @cap-js/[email protected].
- @cap-js/[email protected].
Ces packages totalisent environ 572 000 téléchargements par semaine de la part de la communauté des développeurs SAP.
Les packages npm volent des identifiants dedentcloud et des portefeuilles crypto
Des chercheurs en sécurité ont expliqué que les paquets piratés préinstallent un script qui télécharge et exécute un binaire d'exécution Bun depuis GitHub. Ce dernier exécute ensuite une charge utile JavaScript obfusquée de 11,7 Mo.
Les fichiers sources SAP d'origine sont toujours présents, mais il y a trois nouveaux fichiers supplémentaires :
- un fichier package.json modifié.
- configuration.mjs.
- execution.js.
Ces fichiers ont été horodatés plusieurs heures après le code source. Cela indique que les archives tar ont été modifiées après leur téléchargement depuis une source légitime.
Socket a qualifié de «trond'une campagne d'injection coordonnée et automatisée » le fait que le script de chargement soitdentdans les quatre packages, même s'ils se trouvent dans deux espaces de noms différents.
Lors de son exécution, le programme vérifie si le système est configuré en russe et s'arrête le cas échéant. Il effectue ensuite un branchement selon qu'il détecte ou non un environnement CI/CD, en vérifiant 25 variables de plateforme, telles que GitHub Actions, CircleCI et Jenkins, ou un poste de travail de développeur.
Sur les ordinateurs des développeurs, le logiciel malveillant lit plus de 80 types de fichiers d'dentdifférents. Il s'agit notamment des clés privées SSH,dentAWS et Azure, des configurations Kubernetes, des jetons npm et Docker, des fichiers d'environnement et des portefeuilles de cryptomonnaies sur onze plateformes différentes. Il cible également les fichiers de configuration d'outils d'IA tels que Claude et les paramètres MCP de Kiro.
La charge utile comporte deux niveaux de chiffrement. Une fonction appelée `__decodeScrambled()` utilise PBKDF2 avec 200 000 itérations SHA-256 et un sel appelé « ctf-scramble-v2 » pour obtenir les clés nécessaires au déchiffrement.
Le nom de la fonction, l'algorithme, le sel et le nombre d'itérations sont identiques à ceux des payloads Checkmarx et Bitwarden précédents. Cela laisse supposer que les mêmes outils sont utilisés dans plusieurs campagnes.
Socket surveille l'activité sous le nom de « TeamPCP » et a créé une page de tracdistincte pour ce qu'elle appelle la campagne « mini-shai-hulud ».
Les pirates informatiques ciblent sans relâche les développeurs de cryptomonnaies
La compromission du package SAP est la plus récente d'une série d'attaques de la chaîne d'approvisionnement qui utilisent des gestionnaires de packages pour voler desdentd'actifs numériques.
Comme Cryptopolitan l'a rapporté à l'époque, des chercheurs ont découvert en mars 2026 cinq packages npm typosquattés qui volaient des clés privées de Solana et Ethereum et les envoyaient à un bot Telegram.
Un mois plus tard, ReversingLabs a découvert une campagne nommée PromptMink. Dans le cadre de cette campagne, un paquet malveillant appelé @validate-sdk/v2 a été ajouté à un projet open source de trading de cryptomonnaies via un commit généré par une IA.
L’article Cryptopolitande sur les conclusions de ReversingLabs indique que l’attaque, liée au groupe nord-coréen Famous Chollima, parrainé par l’État, visait spécifiquement lesdentet les secrets du système. de portefeuilles crypto
L'attaque contre SAP diffère par son ampleur et sa direction. Au lieu de créer de faux packages aux noms similaires aux vrais, les attaquants ont accédé à de véritables packages largement utilisés, hébergés dans l'espace de noms de SAP.
Les chercheurs en sécurité recommandent aux équipes qui utilisent des pipelines de déploiement basés sur SAP CAP ou MTA de vérifier immédiatement leurs fichiers de verrouillage pour les versions concernées.
Les développeurs qui ont installé ces packages pendant la période d'exposition doivent modifier tousdentet jetons qui pouvaient être disponibles dans leurs environnements de construction et vérifier les journaux CI/CD pour toute requête réseau inattendue ou exécution binaire.
Selon les chercheurs, au moins une version concernée, @cap-js/[email protected], semble avoir déjà été dépubliée de npm.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les !
FAQ
Quels packages npm ont été compromis lors de l'attaque de la chaîne d'approvisionnement SAP ?
Les versions concernées sont [email protected], @cap-js/[email protected], @cap-js/[email protected]et @cap-js/[email protected]. Elles sont toutes liées au modèle de programmation d'applications cloud de SAP et aux outils de déploiement cloud.
Quelles données le logiciel malveillant vole-t-il sur les machines infectées ?
La charge utile collecte des portefeuilles crypto provenant de onze plateformes différentes, ainsi que des clés privées SSH, desdentcloud pour AWS, Azure, GCP et Kubernetes, des jetons npm et Docker, des fichiers d'environnement et des fichiers de configuration d'outils d'IA.
Comment les développeurs peuvent-ils savoir s'ils ont été affectés ?
Les chercheurs suggèrent d'examiner les arbres de dépendances et les fichiers de verrouillage des versions compromises spécifiques, de vérifier les journaux CI/CD pour tout téléchargement binaire ou activité réseau qui n'aurait pas dû se produire pendant la période d'exposition du 29 avril 2026, et de modifier tous lesdentqui auraient pu être disponibles dans les environnements de construction.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Randa Moses
Randa Moses est rédactrice et journaliste chez Cryptopolitan où elle couvre les technologies, l'intelligence artificielle, la robotique, les cryptomonnaies, les arnaques et le piratage informatique. Elle travaille dans le secteur des cryptomonnaies depuis 2017 et a notamment travaillé chez Forward Protocol, AmaZix et Cryptosomniac. Randa est diplômée en génie électrique ettronde l'Université de Bradford.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)