Carteiras de criptomoedas são alvo de ataque à cadeia de suprimentos do npm ligado à SAP

Quatro pacotes npm conectados ao Modelo de Programação de Aplicativos em Nuvem da SAP foram roubados. Os hackers adicionaram código que rouba carteiras de criptomoedas,dentde nuvem e chaves SSH de desenvolvedores.

De acordo com um relatório da Socket, as versões de pacote afetadas incluem:

• [email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].

Juntos, esses pacotes recebem cerca de 572.000 downloads por semana da comunidade de desenvolvedores SAP.

Pacotes npm roubamdentda nuvem e carteiras de criptomoedas

Pesquisadores de segurança explicaram que os pacotes comprometidos pré-instalam um script que baixa e executa um binário de tempo de execução Bun do GitHub. Em seguida, ele executa um payload JavaScript ofuscado de 11,7 MB.

Os arquivos-fonte SAP originais ainda estão lá, mas há três novos arquivos adicionais:

• um arquivo package.json modificado.
• setup.mjs.
• execution.js.

Esses arquivos foram marcados com horas de atraso em relação ao código real. Isso demonstra que os arquivos tar foram alterados após serem baixados de uma fonte legítima.

Socket classificou isso como "umtrondentdentdentdentdentdentdentdentquatro pacotes, mesmo estando em dois namespaces diferentes.

Quando o payload é executado, ele verifica se o sistema está configurado para o idioma russo e, em caso afirmativo, interrompe a execução. Em seguida, ele ramifica o processo dependendo da presença de um ambiente de CI/CD, verificando 25 variáveis ​​de plataforma, como GitHub Actions, CircleCI e Jenkins, ou de uma estação de trabalho de desenvolvedor.

Nos computadores dos desenvolvedores, o malware lê mais de 80 tipos diferentes de arquivos dedent. Isso inclui chaves privadas SSH,dentda AWS e do Azure, configurações do Kubernetes, tokens do npm e do Docker, arquivos de ambiente e carteiras de criptomoedas em onze plataformas diferentes. Ele também ataca arquivos de configuração de ferramentas de IA, como as configurações do Claude e do Kiro MCP.

A carga útil possui duas camadas de criptografia. Uma função chamada `__decodeScrambled()` usa PBKDF2 com 200.000 iterações de SHA-256 e um salt chamado “ctf-scramble-v2” para obter as chaves necessárias para descriptografar algo.

O nome da função, o algoritmo, o salt e o número de iterações são os mesmos que os dos payloads anteriores do Checkmarx e do Bitwarden. Isso sugere que as mesmas ferramentas estão sendo usadas em várias campanhas.

A Socket está monitorando a atividade sob o nome "TeamPCP" e criou uma página de tracseparada para o que chama de campanha "mini-shai-hulud".

Hackers atacam desenvolvedores de criptomoedas persistentemente

A violação do pacote SAP é a mais recente de uma série de ataques à cadeia de suprimentos que utilizam gerenciadores de pacotes para roubardentde ativos digitais.

Conforme Cryptopolitan relatado na época, pesquisadores encontraram cinco pacotes npm com erros de digitação em março de 2026 que roubaram chaves privadas de Solana e Ethereum e as enviaram para um bot do Telegram.

Um mês depois, a ReversingLabs descobriu uma campanha chamada PromptMink. Nessa campanha, um pacote malicioso chamado @validate-sdk/v2 foi adicionado a um projeto de negociação de criptomoedas de código aberto por meio de um commit gerado por IA.

Cryptopolitanda A cobertura sobre as descobertas da ReversingLabs afirma que o ataque, que foi ligado ao grupo norte-coreano Famous Chollima, patrocinado pelo Estado, teve como alvo específico as credenciais de carteiras de criptomoedasdentsegredos de sistema.

O ataque à SAP difere em tamanho e direção. Em vez de criar pacotes falsos com nomes semelhantes aos reais, os atacantes invadiram pacotes reais e amplamente utilizados que estavam armazenados no espaço de nomes da SAP.

Pesquisadores de segurança recomendam que as equipes que utilizam pipelines de implantação baseados em SAP CAP ou MTA verifiquem imediatamente seus arquivos de bloqueio em busca das versões afetadas.

Os desenvolvedores que instalaram esses pacotes durante o período de vulnerabilidade devem alterar quaisquerdente tokens que possam ter estado disponíveis em seus ambientes de compilação e verificar os logs de CI/CD em busca de quaisquer solicitações de rede inesperadas ou execução de binários.

Segundo os pesquisadores, pelo menos uma versão afetada, @cap-js/[email protected], parece já ter sido removida do npm.