Криптовалютные кошельки стали мишенью атаки на цепочку поставок npm, связанной с SAP

Были украдены четыре пакета npm, подключенные к модели программирования облачных приложений SAP. Хакеры добавили код, который крадет криптокошельки, облачныеdentданные и SSH-ключи у разработчиков.

Согласно сообщению Socket, к числу затронутых версий пакетов относятся:

• [email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].

В совокупности эти пакеты еженедельно скачиваются примерно 572 000 раз сообществом разработчиков SAP.

Пакеты npm крадут облачныеdentданные и криптовалютные кошельки

Исследователи в области безопасности объяснили, что взломанные пакеты предварительно устанавливают скрипт, который загружает и запускает исполняемый файл среды выполнения Bun с GitHub. Затем он запускает обфусцированную полезную нагрузку JavaScript размером 11,7 МБ.

Исходные файлы SAP по-прежнему присутствуют, но появились три новых файла:

• модифицированный файл package.json.
• setup.mjs.
• execution.js.

Эти файлы имеют временные метки, отстающие от реального кода на несколько часов. Это показывает, что архивы были изменены после загрузки из реального источника.

Socket назвал это «tronсигналом скоординированной автоматизированной кампании по внедрению», поскольку скрипт загрузчика идентичен побайтноdentвсех четырех пакетах, несмотря на то, что они находятся в двух разных пространствах имен.

При запуске полезной нагрузки проверяется, настроена ли система на русский язык, и в этом случае процесс останавливается. Затем он переходит в другую среду в зависимости от того, обнаружена ли среда CI/CD, проверяя 25 переменных платформы, таких как GitHub Actions, CircleCI и Jenkins, или рабочая станция разработчика.

На компьютерах разработчиков вредоносная программа считывает более 80 различных типов файлов сdentданными. К ним относятся закрытые ключи SSH,dentданные AWS и Azure, конфигурации Kubernetes, токены npm и Docker, файлы окружения и криптокошельки на одиннадцати различных платформах. Она также атакует файлы конфигурации для инструментов искусственного интеллекта, таких как настройки Claude и Kiro MCP.

Полезная нагрузка имеет два уровня шифрования. Функция `__decodeScrambled()` использует PBKDF2 с 200 000 итерациями SHA-256 и солью под названием «ctf-scramble-v2» для получения ключей, необходимых для расшифровки.

Название функции, алгоритм, соль и количество итераций совпадают с теми, что использовались в предыдущих полезных нагрузках Checkmarx и Bitwarden. Это говорит о том, что одни и те же инструменты используются в нескольких кампаниях.

Компания Socket следит за активностью под названием «TeamPCP» и создала отдельную страницу tracдля так называемой кампании «mini-shai-hulud».

Хакеры постоянно атакуют разработчиков криптовалют

Взлом пакета SAP — это последний случай в серии атак на цепочки поставок, в которых менеджеры пакетов используются для кражи учетныхdentцифровых активов.

Как Cryptopolitan сообщало тогда Solana и Ethereum и отправляли их боту в Telegram.

Спустя месяц ReversingLabs обнаружила кампанию под названием PromptMink. В рамках этой кампании вредоносный пакет @validate-sdk/v2 был добавлен в проект с открытым исходным кодом для торговли криптовалютой посредством сгенерированного ИИ коммита.

Cryptopolitan, посвященной результатам расследования ReversingLabs, говорится, что атака, связанная с поддерживаемой северокорейским государством группировкой Famous Chollima, была направлена ​​на кражу учетныхdentи системных секретов.

Атака на SAP отличается по масштабу и направлению. Вместо создания поддельных пакетов с именами, похожими на реальные, злоумышленники проникли в реальные, широко используемые пакеты, хранящиеся в пространстве имен SAP.

Специалисты по безопасности рекомендуют командам, использующим конвейеры развертывания на основе SAP CAP или MTA, незамедлительно проверить свои файлы блокировки на наличие затронутых версий.

Разработчикам, установившим эти пакеты в период их доступности, следует изменить всеdentданные и токены, которые могли быть доступны в их средах сборки, и проверить журналы CI/CD на наличие неожиданных сетевых запросов или выполнения бинарных файлов.

По данным исследователей, по меньшей мере одна затронутая версия, @cap-js/[email protected], по всей видимости, уже была удалена из npm.