官方 SAP npm 软件包遭入侵，用于窃取凭证

admin 2026-5-1 12:38 14人围观网络安全

多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击，被入侵后用于窃取开发者系统中的凭证和身份验证令牌。安全研究人员报告称，此次入侵影响了四个软件包，目前这些版本在 NPM 上已标记为弃用： @cap-js/sqlite ...

多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击，被入侵后用于窃取开发者系统中的凭证和身份验证令牌。

安全研究人员报告称，此次入侵影响了四个软件包，目前这些版本在 NPM 上已标记为弃用：

@cap-js/sqlite – v2.2.2
@cap-js/postgres – v2.2.2
@cap-js/db-service – v2.10.1
mbt – v1.2.48

这些软件包支持 SAP 的云应用程序编程模型（CAP）和云 MTA，常用于企业开发。

据 Aikido 和 Socket 的最新报告，遭入侵的软件包被修改，加入了恶意的 “preinstall” 脚本，在安装 npm 软件包时会自动执行。

该脚本会启动名为 setup.mjs 的加载程序，从 GitHub 下载 Bun JavaScript 运行时，并使用它来执行经过高度混淆的 execution.js 有效载荷。

此有效载荷是一个信息窃取程序，用于从开发者计算机和持续集成 / 持续交付（CI/CD）环境中窃取多种凭证，包括：

npm 和 GitHub 身份验证令牌
SSH 密钥和开发者凭证
亚马逊网络服务（AWS）、微软 Azure 和谷歌云的云凭证
Kubernetes 配置和密钥
CI/CD 管道密钥和环境变量

该恶意软件还尝试直接从 CI 运行程序的内存中提取密钥，这与 TeamPCP 在之前供应链攻击中提取凭证的方式类似。

Socket 解释说：“在 CI 运行程序上，有效载荷会执行一个嵌入的 Python 脚本，该脚本读取 Runner.Worker 进程的 /proc/<pid>/maps 和 /proc/<pid>/mem，以直接从运行程序内存中提取所有匹配‘key":{"value":"...","isSecret":true} 的密钥，绕过 CI 平台应用的所有日志掩码。这种密钥内存扫描器在结构上与 Bitwarden 和 Checkmarx 事件中记录的扫描器相同。”

一旦收集到数据，它会被加密并上传到受害者账户下的公共 GitHub 存储库。这些存储库的描述为 “A Mini Shai - Hulud has Appeared”，这也与 Bitwarden 供应链攻击中出现的 “Shai - Hulud: The Third Coming” 字符串类似。

与之前的攻击类似，部署的有效载荷还包含自我传播到其他软件包的代码。

利用窃取的 npm 或 GitHub 凭证，它试图修改其获得访问权限的其他软件包和存储库，并注入相同的恶意代码以进一步传播。

研究人员有一定把握将此次攻击与 TeamPCP 威胁行为者联系起来，他们在之前针对 Trivy、Checkmarx 和 Bitwarden 的供应链攻击中使用过类似代码和策略。

虽然尚不清楚威胁行为者是如何入侵 SAP 的 npm 发布流程，但安全工程师阿德南・汗（Adnan Khan）报告称，可能是由于配置错误的 CircleCI 作业导致 NPM 令牌暴露。

BleepingComputer 联系了 SAP，以了解 npm 软件包是如何被入侵的，但截至发布时未收到回复。
hacking-1685092_%e5%8f%af%e7%94%a8.jpg