SAP关联的npm供应链攻击的目标是加密钱包

与 SAP 云应用编程模型相关的四个 npm 包被盗。黑客添加了代码，用于窃取开发人员的加密钱包、云dent和 SSH 密钥。.

根据 Socket 的一份报告，受影响的软件包版本包括：

• [email protected].
• @cap-js/[email protected]
• @cap-js/[email protected]
• @cap-js/[email protected]

这些软件包每周从 SAP 开发人员社区获得约 572,000 次下载。.

npm 包窃取云dent和加密钱包

安全研究人员解释说，被黑客入侵的软件包预装了一个脚本，该脚本会从 GitHub 下载并运行 Bun 运行时二进制文件。然后，它会运行一个经过混淆处理的 11.7MB JavaScript 有效载荷。.

原始 SAP 源文件仍然存在，但新增了三个文件：

• 修改后的 package.json 文件。.
• setup.mjs。.
• execution.js。.

这些文件的时间戳比实际代码晚了几个小时。这表明，这些压缩包在从真实源下载后被篡改过。.

Socket 称 这是“trondentdentdentdentdentdentdentdent，即使它们位于两个不同的命名空间中。

当有效载荷运行时，它会检查系统语言是否设置为俄语，如果是则停止。然后，它会根据是否找到 CI/CD 环境（通过检查 25 个平台变量，例如 GitHub Actions、CircleCI 和 Jenkins）或开发人员工作站来决定执行哪个分支。.

在开发者的电脑上，该恶意软件会读取超过 80 种不同类型的dent文件。这些文件包括 SSH 私钥、AWS 和 Azuredent、Kubernetes 配置、npm 和 Docker 令牌、环境变量文件以及 11 个不同平台上的加密钱包。它还会窃取 Claude 和 Kiro MCP 等 AI 工具的配置文件。.

有效载荷具有两层加密。名为 `__decodeScrambled()` 的函数使用 PBKDF2 算法，并结合 20 万次 SHA-256 迭代和名为“ctf-scramble-v2”的盐值，来获取解密所需的密钥。.

函数名称、算法、盐值和迭代次数与之前的 Checkmarx 和 Bitwarden 攻击载荷中的相同。这表明多个攻击活动中使用了相同的工具。.

Socket 正在密切关注名为“TeamPCP”的活动，并为所谓的“mini-shai-hulud”活动创建了一个单独的 trac页面。.

黑客持续攻击加密货币开发者

SAP软件包泄露事件是近期一系列利用软件包管理器窃取数字资产dent的供应链攻击事件中的最新一起。.

据 Cryptopolitan 报道 当时 Solana 和 Ethereum 开发者的私钥，并将它们发送给了一个 Telegram 机器人。

一个月后，ReversingLabs 发现了一个名为 PromptMink 的攻击活动。在该活动中，一个名为 @validate-sdk/v2 的恶意软件包通过人工智能生成的提交被添加到了一个开源加密货币交易项目中。.

Cryptopolitan的 调查 结果报道称，此次攻击与朝鲜国家支持的组织 Famous Chollima 有关，其目标是加密钱包凭证dent系统机密。

SAP攻击在规模和方向上都有所不同。攻击者并没有创建名称与真实软件包相似的虚假软件包，而是直接入侵了SAP命名空间下广泛使用的真实软件包。.

安全研究人员建议使用 SAP CAP 或基于 MTA 的部署管道的团队立即检查其锁定文件，以确认是否存在受影响的版本。.

在暴露窗口期内安装了这些软件包的开发人员应更改其构建环境中可能存在的任何dent和令牌，并检查 CI/CD 日志中是否存在任何意外的网络请求或二进制执行。.

据研究人员称，至少有一个受影响的版本 @cap-js/[email protected]似乎已经从 npm 取消发布。