Złośliwe pakiety SAP npm atakują dane portfeli kryptowalutowych

Cztery pakiety npm powiązane z modelem SAP Cloud Application Programming Model zostały skradzione. Hakerzy dodali kod kradnący portfele kryptowalut, dane uwierzytelniające do chmury i klucze SSH od programistów.

Według raportu Socket, dotknięte wersje pakietów to:

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

Łącznie pakiety te są pobierane około 572 000 razy tygodniowo przez społeczność programistów SAP.

Pakiety npm kradną dane uwierzytelniające do chmury i portfele kryptowalut

Badacze bezpieczeństwa wyjaśnili, że zhakowane pakiety wstępnie instalują skrypt, który pobiera i uruchamia binarny plik środowiska wykonawczego Bun z GitHub. Następnie uruchamia zaciemniony ładunek JavaScript o wielkości 11,7 MB.

Oryginalne pliki źródłowe SAP są nadal dostępne, ale pojawiły się trzy dodatkowe nowe pliki:

• zmodyfikowany plik package.json.
• setup.mjs.
• execution.js.

Pliki te miały znacznik czasu ustawiony na kilka godzin po prawdziwym kodzie. Wskazuje to, że archiwa tarball zostały zmienione po pobraniu z prawdziwego źródła.

Socket określił to jako „silny sygnał skoordynowanej, zautomatyzowanej kampanii wstrzykiwania" – skrypt ładujący jest identyczny bajtowo we wszystkich czterech pakietach, mimo że znajdują się w dwóch różnych przestrzeniach nazw.

Gdy ładunek zostaje uruchomiony, sprawdza, czy system jest ustawiony na język rosyjski i zatrzymuje się, jeśli tak jest. Następnie rozgałęzia się w zależności od tego, czy wykryje środowisko CI/CD, sprawdzając 25 zmiennych platformy, takich jak GitHub Actions, CircleCI i Jenkins, czy też stację roboczą programisty.

Na komputerach programistów złośliwe oprogramowanie odczytuje ponad 80 różnych typów plików z danymi uwierzytelniającymi. Należą do nich prywatne klucze SSH, dane uwierzytelniające AWS i Azure, konfiguracje Kubernetes, tokeny npm i Docker, pliki środowiskowe oraz portfele kryptowalut na jedenastu różnych platformach. Atakuje również pliki konfiguracyjne narzędzi AI, takich jak ustawienia Claude i Kiro MCP.

Ładunek ma dwie warstwy szyfrowania. Funkcja o nazwie `__decodeScrambled()` używa PBKDF2 z 200 000 iteracjami SHA-256 i solą o nazwie „ctf-scramble-v2" w celu uzyskania kluczy niezbędnych do odszyfrowania.

Nazwa funkcji, algorytm, sól i liczba iteracji są takie same jak w poprzednich ładunkach Checkmarx i Bitwarden. Sugeruje to, że te same narzędzia są wykorzystywane w wielu kampaniach.

Socket monitoruje aktywność pod nazwą „TeamPCP" i utworzył oddzielną stronę śledzenia dla kampanii, którą nazywa „mini-shai-hulud".

Hakerzy uporczywie atakują programistów kryptowalut

Kompromitacja pakietów SAP jest najnowszym z serii ataków na łańcuch dostaw, które wykorzystują menedżery pakietów do kradzieży danych uwierzytelniających do aktywów cyfrowych.

Jak donosi Cryptopolitan, w marcu 2026 roku badacze odkryli pięć pakietów npm z literówkami w nazwach (typosquatting), które kradły klucze prywatne programistów Solana i Ethereum i wysyłały je do bota Telegram.

ReversingLabs miesiąc później odkrył kampanię o nazwie PromptMink. W tej kampanii złośliwy pakiet o nazwie @validate-sdk/v2 został dodany do projektu open-source do handlu kryptowalutami poprzez commit wygenerowany przez AI.

Relacja Cryptopolitan z ustaleń ReversingLabs wskazuje, że atak powiązany z północnokoreańską grupą sponsorowaną przez państwo Famous Chollima był wymierzony konkretnie w dane uwierzytelniające portfeli kryptowalut i tajemnice systemowe.

Atak SAP różni się skalą i kierunkiem. Zamiast tworzyć fałszywe pakiety o nazwach podobnych do prawdziwych, atakujący przejęli prawdziwe, powszechnie używane pakiety utrzymywane w przestrzeni nazw SAP.

Badacze bezpieczeństwa zalecają, aby zespoły korzystające z potoków wdrożeniowych opartych na SAP CAP lub MTA natychmiast sprawdziły swoje pliki lockfile pod kątem dotkniętych wersji.

Programiści, którzy zainstalowali te pakiety w oknie ekspozycji, powinni zmienić wszelkie dane uwierzytelniające i tokeny, które mogły być dostępne w ich środowiskach kompilacji, oraz sprawdzić logi CI/CD pod kątem nieoczekiwanych żądań sieciowych lub wykonania plików binarnych.

Według badaczy co najmniej jedna dotknięta wersja, @cap-js/sqlite@2.2.2, wydaje się już zostać wycofana z npm.

Twój bank używa Twoich pieniędzy. Ty dostajesz resztki. Obejrzyj nasz bezpłatny film o tym, jak stać się własnym bankiem