Pachete npm SAP malițioase vizează datele portofelelor crypto

Patru pachete npm conectate la modelul de programare a aplicațiilor cloud SAP au fost compromise. Hackerii au adăugat cod care fură portofele cripto, credențiale cloud și chei SSH de la dezvoltatori.

Conform unui raport de la Socket, versiunile de pachete afectate includ:

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

Aceste pachete înregistrează împreună aproximativ 572.000 de descărcări pe săptămână din comunitatea de dezvoltatori SAP.

Pachetele npm fură credențiale cloud și portofele cripto

Cercetătorii în securitate au explicat că pachetele compromise pre-instalează un script care descarcă și rulează un binar Bun runtime de pe GitHub. Acesta rulează apoi un payload JavaScript obfuscat de 11,7 MB.

Fișierele sursă SAP originale sunt încă prezente, dar există trei fișiere noi suplimentare:

• un package.json modificat.
• setup.mjs.
• execution.js.

Aceste fișiere au marcaje de timp plasate la ore după codul real. Aceasta arată că arhivele tarball au fost modificate după ce au fost descărcate dintr-o sursă reală.

Socket a numit acest lucru „un semnal puternic al unei campanii coordonate, automate de injecție", deoarece scriptul loader este identic la nivel de octeți în toate cele patru pachete, chiar dacă se află în două spații de nume diferite.

Când payload-ul rulează, verifică dacă sistemul este setat pe rusă și se oprește dacă este. Apoi se ramifică în funcție de dacă găsește un mediu CI/CD, verificând 25 de variabile de platformă, cum ar fi GitHub Actions, CircleCI și Jenkins, sau o stație de lucru a dezvoltatorului.

Pe computerele dezvoltatorilor, malware-ul citește mai mult de 80 de tipuri diferite de fișiere de credențiale. Acestea includ chei private SSH, credențiale AWS și Azure, configurații Kubernetes, token-uri npm și Docker, fișiere de mediu și portofele cripto pe unsprezece platforme diferite. De asemenea, vizează fișierele de configurare pentru instrumente AI precum setările Claude și Kiro MCP.

Payload-ul are două straturi de criptare. O funcție numită `__decodeScrambled()` utilizează PBKDF2 cu 200.000 de iterații SHA-256 și un salt numit „ctf-scramble-v2" pentru a obține cheile necesare decriptării.

Numele funcției, algoritmul, salt-ul și numărul de iterații sunt aceleași ca în payload-urile anterioare Checkmarx și Bitwarden. Aceasta sugerează că aceleași instrumente sunt utilizate în mai multe campanii.

Socket monitorizează activitatea sub numele „TeamPCP" și a creat o pagină separată de urmărire pentru ceea ce numește campania „mini-shai-hulud".

Hackerii vizează persistent dezvoltatorii cripto

Compromiterea pachetului SAP este cea mai recentă dintr-o serie de atacuri asupra lanțului de aprovizionare care utilizează manageri de pachete pentru a fura credențiale de active digitale.

Așa cum a raportat Cryptopolitan la acea vreme, cercetătorii au găsit în martie 2026 cinci pachete npm typosquatted care furau chei private de la dezvoltatorii Solana și Ethereum și le trimiteau unui bot Telegram.

ReversingLabs a descoperit o lună mai târziu o campanie numită PromptMink. În această campanie, un pachet malițios numit @validate-sdk/v2 a fost adăugat la un proiect open-source de tranzacționare cripto printr-un commit generat de AI.

Relatarea Cryptopolitan despre descoperirile ReversingLabs afirmă că atacul, legat de grupul sponsorizat de statul nord-coreean Famous Chollima, a vizat în mod specific credențialele portofelelor cripto și secretele de sistem.

Atacul SAP diferă prin amploare și direcție. În loc să creeze pachete false cu nume similare cu cele reale, atacatorii au pătruns în pachete reale, utilizate pe scară largă, care erau menținute sub spațiul de nume al SAP.

Cercetătorii în securitate recomandă echipelor care utilizează pipeline-uri de implementare bazate pe SAP CAP sau MTA să verifice imediat fișierele lor lockfile pentru versiunile afectate.

Dezvoltatorii care au instalat aceste pachete în perioada de expunere ar trebui să schimbe orice credențiale și token-uri care ar fi putut fi disponibile în mediile lor de build și să verifice jurnalele CI/CD pentru orice solicitări de rețea neașteptate sau execuție de binare.

Conform cercetătorilor, cel puțin o versiune afectată, @cap-js/sqlite@2.2.2, pare să fi fost deja retrasă din npm.

Banca ta îți folosește banii. Tu primești firimiturile. Urmărește videoclipul nostru gratuit despre cum să devii propria ta bancă