दुर्भावनापूर्ण SAP npm पैकेज क्रिप्टो वॉलेट डेटा को निशाना बनाते हैं

SAP के Cloud Application Programming Model से जुड़े चार npm पैकेज चुरा लिए गए। हैकर्स ने ऐसा कोड जोड़ा जो डेवलपर्स से क्रिप्टो वॉलेट, क्लाउड क्रेडेंशियल्स और SSH कीज़ चुराता है।

Socket की एक रिपोर्ट के अनुसार, प्रभावित पैकेज वर्शन में शामिल हैं:

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

ये पैकेज मिलकर SAP डेवलपर कम्युनिटी से हर हफ्ते लगभग 572,000 बार डाउनलोड किए जाते हैं।

npm पैकेज क्लाउड क्रेडेंशियल्स और क्रिप्टो वॉलेट चुराते हैं

सुरक्षा शोधकर्ताओं ने बताया कि हैक किए गए पैकेज एक ऐसा स्क्रिप्ट प्री-इंस्टॉल करते हैं जो GitHub से Bun रनटाइम बाइनरी डाउनलोड करके चलाता है। इसके बाद यह एक obfuscated 11.7MB JavaScript पेलोड चलाता है।

मूल SAP सोर्स फाइलें अभी भी मौजूद हैं, लेकिन तीन अतिरिक्त नई फाइलें भी हैं:

• एक संशोधित package.json.
• setup.mjs.
• execution.js.

इन फाइलों का टाइमस्टैम्प असली कोड के घंटों बाद का है। यह दर्शाता है कि tarballs को किसी वास्तविक स्रोत से डाउनलोड करने के बाद बदला गया था।

Socket ने इसे "एक समन्वित, स्वचालित इंजेक्शन अभियान का मजबूत संकेत" कहा, क्योंकि लोडर स्क्रिप्ट चारों पैकेज में बाइट-आइडेंटिकल है, भले ही वे दो अलग-अलग नेमस्पेस में हों।

जब पेलोड चलता है, तो यह जांचता है कि सिस्टम रूसी भाषा पर सेट है या नहीं और यदि है तो रुक जाता है। इसके बाद यह इस बात पर निर्भर करता है कि उसे CI/CD एनवायरनमेंट मिलता है या नहीं, जिसके लिए यह 25 प्लेटफॉर्म वेरिएबल्स जैसे GitHub Actions, CircleCI और Jenkins, या डेवलपर वर्कस्टेशन की जांच करता है।

डेवलपर कंप्यूटरों पर, मैलवेयर 80 से अधिक विभिन्न प्रकार की क्रेडेंशियल फाइलें पढ़ता है। इनमें SSH प्राइवेट कीज़, AWS और Azure क्रेडेंशियल्स, Kubernetes कॉन्फिग, npm और Docker टोकन, एनवायरनमेंट फाइलें, और ग्यारह अलग-अलग प्लेटफॉर्म पर क्रिप्टो वॉलेट शामिल हैं। यह Claude और Kiro MCP सेटिंग्स जैसे AI टूल्स की कॉन्फिगरेशन फाइलों को भी निशाना बनाता है।

पेलोड में एन्क्रिप्शन की दो परतें हैं। `__decodeScrambled()` नामक एक फंक्शन PBKDF2 का उपयोग 200,000 SHA-256 इटरेशन और "ctf-scramble-v2" नामक एक सॉल्ट के साथ करता है ताकि किसी चीज़ को डिक्रिप्ट करने के लिए आवश्यक कीज़ प्राप्त की जा सकें।

फंक्शन का नाम, एल्गोरिदम, सॉल्ट और इटरेशन काउंट पिछले Checkmarx और Bitwarden पेलोड जैसे ही हैं। यह सुझाव देता है कि एक ही टूल का उपयोग कई अभियानों में किया जा रहा है।

Socket इस गतिविधि पर "TeamPCP" नाम से नज़र रख रहा है और इसने उस अभियान के लिए एक अलग ट्रैकिंग पेज बनाया है जिसे वह "mini-shai-hulud" अभियान कहता है।

हैकर्स लगातार क्रिप्टो डेवलपर्स को निशाना बनाते हैं

SAP पैकेज से समझौता सप्लाई चेन हमलों की एक श्रृंखला में सबसे हालिया है जो डिजिटल एसेट क्रेडेंशियल्स चुराने के लिए पैकेज मैनेजरों का उपयोग करते हैं।

जैसा कि Cryptopolitan ने उस समय रिपोर्ट किया था, शोधकर्ताओं ने मार्च 2026 में पांच typosquatted npm पैकेज खोजे जो Solana और Ethereum डेवलपर्स से प्राइवेट कीज़ चुराकर एक Telegram बॉट को भेज देते थे।

ReversingLabs ने एक महीने बाद PromptMink नामक एक अभियान खोजा। इस अभियान में, @validate-sdk/v2 नामक एक दुर्भावनापूर्ण पैकेज को AI-जनरेटेड कमिट के माध्यम से एक ओपन-सोर्स क्रिप्टो ट्रेडिंग प्रोजेक्ट में जोड़ा गया था।

ReversingLabs के निष्कर्षों पर Cryptopolitan की कवरेज कहती है कि यह हमला, जो उत्तर कोरियाई राज्य-प्रायोजित समूह Famous Chollima से जुड़ा था, विशेष रूप से क्रिप्टो वॉलेट क्रेडेंशियल्स और सिस्टम सीक्रेट्स के पीछे गया।

SAP हमला आकार और दिशा में अलग है। असली पैकेज जैसे नामों वाले नकली पैकेज बनाने के बजाय, हमलावरों ने SAP के नेमस्पेस के तहत रखे गए वास्तविक, व्यापक रूप से उपयोग किए जाने वाले पैकेजों में सेंध लगाई।

सुरक्षा शोधकर्ता सिफारिश करते हैं कि SAP CAP या MTA-आधारित डिप्लॉयमेंट पाइपलाइन का उपयोग करने वाली टीमें तुरंत अपने लॉकफाइल को प्रभावित वर्शन के लिए जांचें।

जिन डेवलपर्स ने एक्सपोज़र विंडो के दौरान इन पैकेजों को इंस्टॉल किया था, उन्हें अपने बिल्ड एनवायरनमेंट में उपलब्ध हो सकने वाले किसी भी क्रेडेंशियल और टोकन को बदलना चाहिए और CI/CD लॉग में किसी भी अप्रत्याशित नेटवर्क अनुरोध या बाइनरी एक्जीक्यूशन की जांच करनी चाहिए।

शोधकर्ताओं के अनुसार, कम से कम एक प्रभावित वर्शन, @cap-js/sqlite@2.2.2, पहले से ही npm से अनपब्लिश हो चुका प्रतीत होता है।

आपका बैंक आपके पैसे का उपयोग कर रहा है। आपको बचे-खुचे हिस्से मिल रहे हैं। अपना खुद का बैंक बनने पर हमारा मुफ्त वीडियो देखें