I portafogli di criptovalute sono stati presi di mira da un attacco alla catena di fornitura di npm collegato a SAP

Sono stati rubati quattro pacchetti npm collegati al Cloud Application Programming Model di SAP. Gli hacker hanno inserito del codice in grado di sottrarre portafogli di criptovalute,dentcloud e chiavi SSH agli sviluppatori.

Secondo un rapporto di Socket, le versioni dei pacchetti interessati includono:

• [email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].

Complessivamente, questi pacchetti registrano circa 572.000 download a settimana da parte della community di sviluppatori SAP.

I pacchetti npm rubano ledentcloud e i portafogli di criptovalute

I ricercatori di sicurezza hanno spiegato che i pacchetti compromessi preinstallano uno script che scarica ed esegue un binario di runtime Bun da GitHub. Successivamente, esegue un payload JavaScript offuscato di 11,7 MB.

I file sorgente SAP originali sono ancora presenti, ma sono stati aggiunti tre nuovi file:

• un file package.json modificato.
• setup.mjs.
• execution.js.

Questi file sono stati contrassegnati con un timestamp di ore successive rispetto al codice originale. Ciò dimostra che gli archivi tar sono stati modificati dopo essere stati scaricati da una fonte legittima.

Socket ha definito "untrondentdentdentdentdentdentdentdenttutti e quattro i pacchetti, anche se si trovano in due namespace diversi.

Quando il payload viene eseguito, verifica se il sistema è impostato su russo e si arresta in tal caso. Successivamente, si ramifica a seconda che trovi un ambiente CI/CD, controllando 25 variabili di piattaforma, come GitHub Actions, CircleCI e Jenkins, oppure una workstation di sviluppo.

Sui computer degli sviluppatori, il malware legge oltre 80 diversi tipi di file dident. Tra questi figurano chiavi private SSH,dentAWS e Azure, configurazioni Kubernetes, token npm e Docker, file di ambiente e portafogli di criptovalute su undici piattaforme diverse. Prende di mira anche i file di configurazione di strumenti di intelligenza artificiale come Claude e le impostazioni di Kiro MCP.

Il payload ha due livelli di crittografia. Una funzione chiamata `__decodeScrambled()` utilizza PBKDF2 con 200.000 iterazioni SHA-256 e un salt chiamato "ctf-scramble-v2" per ottenere le chiavi necessarie per decrittografare qualcosa.

Il nome della funzione, l'algoritmo, il salt e il numero di iterazioni sono gli stessi di quelli presenti nei precedenti payload di Checkmarx e Bitwarden. Ciò suggerisce che gli stessi strumenti vengano utilizzati in più campagne.

Socket sta monitorando l'attività con il nome di "TeamPCP" e ha creato una pagina di tracseparata per quella che definisce la campagna "mini-shai-hulud".

Gli hacker prendono di mira in modo persistente gli sviluppatori di criptovalute

La violazione dei dati del pacchetto SAP è l'ultimo di una serie di attacchi alla catena di fornitura che utilizzano i gestori di pacchetti per rubare ledentdegli asset digitali.

Come Cryptopolitan riportato all'epoca Solana ed Ethereum e le inviavano a un bot di Telegram.

Un mese dopo, ReversingLabs ha scoperto una campagna chiamata PromptMink. In questa campagna, un pacchetto dannoso denominato @validate-sdk/v2 è stato aggiunto a un progetto open-source di trading di criptovalute tramite un commit generato dall'intelligenza artificiale.

Cryptopolitanda Secondo quanto riportato in merito ai risultati di ReversingLabs, l'attacco, collegato al gruppo Famous Chollima, sostenuto dallo stato nordcoreano, si è concentrato specificamente sulledente sui segreti di sistema.

L'attacco a SAP si distingue per dimensioni e direzione. Invece di creare pacchetti falsi con nomi simili a quelli reali, gli aggressori hanno preso di mira pacchetti reali e ampiamente utilizzati, ospitati nello spazio dei nomi di SAP.

I ricercatori in materia di sicurezza raccomandano ai team che utilizzano pipeline di distribuzione basate su SAP CAP o MTA di verificare immediatamente i propri file di blocco per individuare le versioni interessate.

Gli sviluppatori che hanno installato questi pacchetti durante il periodo di vulnerabilità dovrebbero modificare ledente i token eventualmente presenti nei loro ambienti di compilazione e controllare i log CI/CD per individuare eventuali richieste di rete impreviste o esecuzioni di file binari.

Secondo i ricercatori, almeno una versione interessata, @cap-js/[email protected], sembra essere già stata rimossa da npm.