悪意のあるSAP npmパッケージが暗号通貨ウォレットのデータを標的にしている

SAPのクラウドアプリケーションプログラミングモデル（CAPM）に接続されていた4つのnpmパッケージが盗まれた。ハッカーは、開発者から暗号通貨ウォレット、クラウドdent情報、SSHキーを盗むコードを追加した。.

Socketの報告によると、影響を受けるパッケージのバージョンは以下のとおりです。

• mbt@1.2.48。.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

これらのパッケージを合わせると、SAP開発者コミュニティから週に約57万2000回ダウンロードされている。.

npmパッケージがクラウドdent情報と暗号通貨ウォレットを盗む

セキュリティ研究者らは、ハッキングされたパッケージには、GitHubからBunランタイムバイナリをダウンロードして実行するスクリプトがプリインストールされていると説明した。その後、難読化された11.7MBのJavaScriptペイロードが実行される。.

元のSAPソースファイルは残っていますが、新たに3つのファイルが追加されています。

• 変更されたpackage.jsonファイル。.
• setup.mjs。.
• 実行.js.

これらのファイルには、実際のコードが公開されてから数時間後にタイムスタンプが付けられていました。これは、tarballが実際のソースからダウンロードされた後に変更されたことを示しています。.

Socketは た 「組織的で自動化されたインジェクションキャンペーンの強い兆候」だtrondentdentdentdentdentdentdentdent。

ペイロードが実行されると、システムがロシア語に設定されているかどうかを確認し、設定されている場合は停止します。その後、GitHub Actions、CircleCI、Jenkinsなどの25個のプラットフォーム変数をチェックしてCI/CD環境が見つかったか、開発者ワークステーションが見つかったかに応じて分岐します。.

開発者のコンピューター上では、このマルウェアは80種類以上のdent情報ファイルを読み取ります。これには、SSH秘密鍵、AWSおよびAzureのdent情報、Kubernetes構成ファイル、npmおよびDockerトークン、環境ファイル、そして11種類のプラットフォーム上の暗号通貨ウォレットが含まれます。また、ClaudeやKiro MCP設定などのAIツールの構成ファイルも標的にします。.

ペイロードには2層の暗号化が施されています。`__decodeScrambled()`という関数は、PBKDF2と20万回のSHA-256反復、そして「ctf-scramble-v2」というソルトを使用して、復号に必要な鍵を取得します。.

関数名、アルゴリズム、ソルト、反復回数は、以前のCheckmarxおよびBitwardenのペイロードと同じである。これは、複数のキャンペーンで同じツールが使用されていることを示唆している。.

Socketは「TeamPCP」という名前で行われている活動を注視しており、「mini-shai-hulud」キャンペーンと呼ぶもの専用の tracページを作成している。.

ハッカーは暗号通貨開発者を執拗に標的にしている

SAPパッケージの侵害は、パッケージマネージャーを利用してデジタル資産のdent情報を盗む一連のサプライチェーン攻撃の中で、最も新しい事例である。.

ように Cryptopolitan 報じた 当時 Solana と Ethereum 開発者から秘密鍵を盗み出し、Telegramボットに送信した5つのタイポスクワッティングされたnpmパッケージを発見した。

ReversingLabsは1か月後、PromptMinkと呼ばれるキャンペーンを発見した。このキャンペーンでは、AIが生成したコミットを通じて、@validate-sdk/v2という悪意のあるパッケージがオープンソースの暗号通貨取引プロジェクトに追加されていた。.

Cryptopolitanが を報じたところ によると、北朝鮮の国家支援グループであるFamous Chollimaと関連付けられたこの攻撃は、特に暗号通貨ウォレットの認証dentとシステム秘密を狙ったものだったという。

SAPへの攻撃は、規模と方向性において従来とは異なる。攻撃者は、実在するパッケージに似た名前の偽パッケージを作成するのではなく、SAPのネームスペース内に保管されている、広く利用されている実際のパッケージに侵入した。.

セキュリティ研究者は、SAP CAPまたはMTAベースのデプロイメントパイプラインを使用しているチームに対し、影響を受けるバージョンについてロックファイルを直ちに確認することを推奨しています。.

脆弱性が露呈した期間中にこれらのパッケージをインストールした開発者は、ビルド環境で使用されていた可能性のあるdent情報やトークンをすべて変更し、CI/CDログを確認して、予期しないネットワーク要求やバイナリ実行がないかチェックする必要があります。.

研究者によると、影響を受けるバージョンのうち少なくとも1つ、@cap-js/sqlite@2.2.2は、すでにnpmから公開解除されているようだ。.

この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。