惡意 SAP npm 包針對加密錢包數據

與 SAP 雲應用編程模型相關的四個 npm 包被盜。黑客添加了代碼，用於竊取開發人員的加密錢包、雲dent和 SSH 密鑰。.

根據 Socket 的一份報告，受影響的軟件包版本包括：

• mbt@1.2.48。.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2。.
• @cap-js/sqlite@2.2.2。.

這些軟件包每週從 SAP 開發人員社區獲得約 572,000 次下載。.

npm 包竊取雲dent和加密錢包

安全研究人員解釋說，被黑客入侵的軟件包預裝了一個腳本，該腳本會從 GitHub 下載並運行 Bun 運行時二進制文件。然後，它會運行一個經過混淆處理的 11.7MB JavaScript 有效載荷。.

原始 SAP 源文件仍然存在，但新增了三個文件：

• 修改後的 package.json 文件。.
• setup.mjs。.
• execution.js。.

這些文件的時間戳比實際代碼晚了幾個小時。這表明，這些壓縮包在從真實源下載後被篡改過。.

Socket 稱 這是“trondentdentdentdentdentdentdentdent，即使它們位於兩個不同的命名空間中。

當有效載荷運行時，它會檢查系統語言是否設置爲俄語，如果是則停止。然後，它會根據是否找到 CI/CD 環境（通過檢查 25 個平臺變量，例如 GitHub Actions、CircleCI 和 Jenkins）或開發人員工作站來決定執行哪個分支。.

在開發者的電腦上，該惡意軟件會讀取超過 80 種不同類型的dent文件。這些文件包括 SSH 私鑰、AWS 和 Azuredent、Kubernetes 配置、npm 和 Docker 令牌、環境變量文件以及 11 個不同平臺上的加密錢包。它還會竊取 Claude 和 Kiro MCP 等 AI 工具的配置文件。.

有效載荷具有兩層加密。名爲 `__decodeScrambled()` 的函數使用 PBKDF2 算法，並結合 20 萬次 SHA-256 迭代和名爲“ctf-scramble-v2”的鹽值，來獲取解密所需的密鑰。.

函數名稱、算法、鹽值和迭代次數與之前的 Checkmarx 和 Bitwarden 攻擊載荷中的相同。這表明多個攻擊活動中使用了相同的工具。.

Socket 正在密切關注名爲“TeamPCP”的活動，併爲所謂的“mini-shai-hulud”活動創建了一個單獨的 trac頁面。.

黑客持續攻擊加密貨幣開發者

SAP軟件包泄露事件是近期一系列利用軟件包管理器竊取數字資產dent的供應鏈攻擊事件中的最新一起。.

據 Cryptopolitan 報道 當時 Solana 和 Ethereum 開發者的私鑰，並將它們發送給了一個 Telegram 機器人。

一個月後，ReversingLabs 發現了一個名爲 PromptMink 的攻擊活動。在該活動中，一個名爲 @validate-sdk/v2 的惡意軟件包通過人工智能生成的提交被添加到了一個開源加密貨幣交易項目中。.

Cryptopolitan的 調查 結果報道稱，此次攻擊與朝鮮國家支持的組織 Famous Chollima 有關，其目標是加密錢包憑證dent系統機密。

SAP攻擊在規模和方向上都有所不同。攻擊者並沒有創建名稱與真實軟件包相似的虛假軟件包，而是直接入侵了SAP命名空間下廣泛使用的真實軟件包。.

安全研究人員建議使用 SAP CAP 或基於 MTA 的部署管道的團隊立即檢查其鎖定文件，以確認是否存在受影響的版本。.

在暴露窗口期內安裝了這些軟件包的開發人員應更改其構建環境中可能存在的任何dent和令牌，並檢查 CI/CD 日誌中是否存在任何意外的網絡請求或二進制執行。.

據研究人員稱，至少有一個受影響的版本 @cap-js/sqlite@2.2.2 似乎已經從 npm 取消發佈。.

如果你正在閱讀這篇文章，你已經領先一步了。 訂閱我們的新聞簡報，繼續保持領先優勢。