Eine Reihe offizieller SAP-Pakete, die im npm-Record veröffentlicht wurden, wurde kompromittiert und nach Analyse mehrerer Forschungsteams fällt die Intrusion mit der taktisch-operationalen Signatur der Gruppe namens TeamPCP zusammen. Die betroffenen Versionen, die mit schädlichem Code veröffentlicht wurden und bereits in npm depreciert wurden, umfassen @ cap-js / sqlite v2.2.2, @ cap-js / postgres v2.2.2, @ cap-js / db-service v2.10.1 und mbt v1.2.48., Komponenten, die mit dem Cloud Application Programming (CAP) und Cloud MTA-Modell verbunden sind, die in den Geschäftsentwicklungen verwendet werden.
Aikido und Socket-Wissenschaftler haben dokumentiert, dass das kompromittierte Paket ein Pre-Installations-Skript hinzufügt, das einen Loader namens setup.mjs startet, der wiederum die Laufzeit Bun von GitHub herunterlädt und eine doppelte Nutzlast namens Exection ausführt. Js. Diese Nutzlast wirkt als Informationsdieb, der Token von npm und GitHub, SSH-Tasten, Cloud-Lieferanten (AWS, Azure, GCP), Kubernetes-Einstellungen und Geheimnisse und CI / CD-Umgebungsvariablen extrahiert., zusätzlich zu versuchen, Speicher von CI-Läufern zu lesen, um die Maskierung von Geheimnissen zu vermeiden.
Der dokumentierte Exfiltrationsmechanismus umfasst die Verschlüsselung der gestohlenen Informationen und den Anstieg der öffentlichen GitHub-Repositories, die unter Opferkonten erstellt wurden, unter Verwendung von Beschreibungen mit der "A Mini Shai-Hulud has Appeted"-Kette. Darüber hinaus verwendet Malware eine "dead-drop"-Technik, indem Nachrichten in GitHub mit dem Formular "OhNoWhatsGoingOnWithGitHub:"Token zurückzugewinnen, die es ermöglicht, den Umfang und die Beharrlichkeit des Angreifers zu erweitern. Diese Details sind in den Berichten von Aikido und Socket enthalten: Aikido - Mini Shai-Hulud und Socket - SAP CAP-Angriffsanalyse.
Die Fähigkeit von Malware zu lesen / proc / Torf/ Karten und / proc / Torf/ Mem in Linux-Läufer reproduziert Taktiken in früheren Verpflichtungen, die TeamPCP gegenüber Lieferanten wie Bitwarden und Checkmark zugeschrieben: Geheimnisse werden direkt aus dem Speicher des Läuferprozesses entfernt, um jegliche Maskierung des CI-Anbieters zu vermeiden. Mit gestohlenen Anmeldeinformationen versucht der Schauspieler automatisch zu verbreiten, indem andere Pakete und Repositories geändert werden, um die gleiche schädliche Kette einzufügen.
Auf dem ersten Vektor gibt es keine öffentliche Bestätigung von SAP am Ende der Berichte, aber Forscher weisen auf die Möglichkeit hin, dass ein Token npm durch eine falsche Einstellung eines CircleCI Job, die im Einklang mit früheren Mustern, in denen CI-Berechtigungen diente als schädliche Publikation Pivot. Wie SAP untersucht, müssen Organisationen, die CAP oder die betreffenden Buchhandlungen verwenden, in ihren Entwicklungsketten ein Engagement eingehen.
Die empfohlenen sofortigen Maßnahmen umfassen das Drehen und Revozieren von Token und Anmeldeinformationen, die in Maschinen oder CI vorhanden sein können: regenerieren Sie npm und GitHub-Tokens, drehen Sie SSH-Tasten, erneuern Sie Cloud-Anmeldeinformationen und regenerieren CI-Geheimnisse. Es ist wichtig, die Repositories und Konten in GitHub auf der Suche nach neuen Repos mit der obigen Beschreibung erstellt und die Geschichte der Verpflichtungen durch verdächtige Muster wie "OhNoWhatsGoingOnWithGitHub:." Es ist auch angebracht, engagierte Läufer zu widerrufen und sie aus sauberen Bildern zu rekonstruieren, um jede Hintertür im Speicher oder im Dateisystem zu entfernen.
Im Hintergrund sollten Entwicklungs- und Bereitstellungspraktiken gestärkt werden: Multi-Faktor-Authentifizierung und die Verwendung von Token mit dem geringsten Privileg möglich, Migration auf föderierte oder ODIC-Authentifizierungsmechanismen für CI, wo möglich, Aktivierung von geheimen Scannen und erweiterten Repository-Schutz (z.B. GitHub Advanced Security) und Einstellung von Abhängigkeitsversionen durch Lockfiles und Pipeline ändern Freigaberichtlinien. Drittanbieter-Software-Scanning-Tools (SCA) und Paketintegritätsüberwachung helfen, unbefugte Änderungen in veröffentlichten Artefakten zu erkennen.
Aus betrieblicher Sicht ist es von entscheidender Bedeutung, Zugriffsprotokolle zu Repositorien und APis-Cloud durch ungewöhnliche Aktivität zu prüfen, unbefugte Exfiltration mit Exgress-Kontrollen zu blockieren und die CI-Konfiguration zu überprüfen, um zu verhindern, dass empfindliche Variablen in Gebäuden eingeweicht oder in öffentlichen Arbeitsplätzen ausgesetzt werden. Betrachten Sie die Verwendung von Ephemeral-Token, automatische Rotation und strenge Trennung von Veröffentlichungsinformationen von denen der Ausführung das Belichtungsfenster auf ein zukünftiges Engagement reduzieren.
Dieser Vorfall unterstreicht erneut, dass Software-Versorgungsketten ein hochwertiges Ziel sind und dass ein einziger schlecht konfigurierter Token oder Pipeline Zugang zu kompletten Unternehmensumgebungen geben kann. Die Verteidigung erfordert sowohl technische Kontrollen (Härtung von CI, Rotation von Geheimnissen, wenig Privilegien) als auch Governance: klare Politiken zur Paketpublikation, menschliche Bewertungen und schnelle Reaktion auf Verpflichtungssignale. Für praktische Anleitungen zum Tokenmanagement und zum Anmelden wenden Sie sich bitte an GitHubs Empfehlungen zu persönlichen und Zugriffstoken: GitHub - Personal Access Tokens, und npm Dokumentation über Sicherheit und Token: npm - Access Tokens.
Wenn Ihre Organisation SAP CAP oder die betreffenden Buchhandlungen verwendet, handeln Sie jetzt: Sie wertet Belichtung aus, macht Verpflichtung, etwas anderes zu beweisen, betreibt Rotationen und Rekonstruktionen und nutzt diesen Vorfall, um die Verteidigung der Lieferkette und die Hygiene von Geheimnissen auf Unternehmensebene zu erhöhen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...