文章总结: 研究人员披露SAP官方npm包遭供应链攻击,四个包被植入恶意预安装脚本,在安装时窃取开发者凭据和CI/CD环境密钥。攻击载荷通过GitHub下载Bun运行时执行混淆脚本,可提取npm令牌、云凭据等敏感数据,并利用内存扫描绕过CI日志脱敏机制。攻击者将数据加密上传至GitHub仓库,且恶意代码具备自我传播能力,疑似与TeampCP组织相关。建议开发人员检查依赖包安全性并更新受影响的版本。 综合评分: 85 文章分类: 供应链安全,漏洞预警,恶意软件,安全事件,解决方案
SAP 官方 npm 包受陷,被用于供应链攻击窃取凭据
Lawrence Abrams Lawrence Abrams
代码卫士
2026年4月30日 10:45 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
研究人员披露称,多个SAP官方 npm 受陷,被纳入 TeamPCP 供应链攻击,从开发人员系统中窃取凭据和身份认证令牌。
研究人员公布了这四个受影响的 npm 包,目前已被弃用:
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – v2.10.1
- mbt – v1.2.48
这些包支持 SAP 的 CAP 和 Cloud MTA,它们常用于企业开发环境中。受陷软件包遭修改,包含了恶意 “preinstall” 脚本,在npm 包安装时自动执行。该脚本启动了一个名为 setup.mjs 的加载器,从GitHub 中下载JavaScript 运行时 Bun,并执行被严重混淆的载荷 execution.js。该payload 是一个信息窃取器,用于从开发机器和CI/CD环境中窃取多种凭据,包括:
- npm 和 GitHub 身份认证令牌
- SSH 密钥和开发者凭据
- AWS、Azure 和 Google Cloud云凭据
- Kubernetes配置和密钥
- CI/CD管道密钥和环境变量
该恶意软件还会尝试直接从 CI 运行器的内存中提取密钥。Socket 公司的研究人员在报告中解释称:“在 CI 运行器上,该载荷会执行一个嵌入式的 Python 脚本,读取 Runner.Worker 进程的 /proc/
数据收集完成后,会被加密并上传至受害者账号下的公共 GitHub 仓库中。这些仓库的描述均为 “A Mini Shai-Hulud has Appeared”,这与之前 Bitwarden 供应链攻击中出现的 “Shai-Hulud: The Third Coming” 字符串高度相似。
与以往的供应链攻击类似,此次部署的载荷同样包含自我传播至其它包的代码。该恶意软件会利用窃取到的 npm 或 GitHub 令牌,尝试修改其能访问到的其它包和仓库,并注入相同的恶意代码,以实现进一步扩散。安全研究人员以中等置信度将此攻击关联至 TeamPCP 威胁组织。该组织在先前针对 Trivy、Checkmarx 和 Bitwarden 的供应链攻击中,使用了相似的代码和战术。
虽然目前尚不清楚威胁组织如何攻破 SAP 的 npm 发布流程,不过安全工程师 Adnan Khan 推测,可能因一个 npm 令牌通过配置错误的 CircleCI 任务被泄露造成。SAP 尚未就npm 包被入侵的方式做出回应。
开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com
推荐阅读
在线阅读版:《2025中国软件供应链安全分析报告》全文
Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌
Axios 严重漏洞可导致 RCE
Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
vLLM 高危漏洞可导致RCE
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
开发人员注意:VSCode 应用市场易被滥用于托管恶意扩展
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
黑客发动史上规模最大的 NPM 供应链攻击,影响全球10%的云环境
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响
AI供应链易遭“模型命名空间复用”攻击
Frostbyte10:威胁全球供应链的10个严重漏洞
PyPI拦截1800个过期域名邮件,防御供应链攻击
PyPI恶意包利用依赖引入恶意行为,发动软件供应链攻击
黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员
700多个恶意误植域名库盯上RubyGems 仓库
NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断
固件开发和更新缺陷导致漏洞多年难修,供应链安全深受其害
NPM仓库被植入67个恶意包传播恶意软件
在线阅读版:《2025中国软件供应链安全分析报告》全文
NPM软件供应链攻击传播恶意软件
隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏
NPM恶意包利用Unicode 隐写术躲避检测
Aikido在npm热门包 rand-user-agent 中发现恶意代码
密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击
原文链接
https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Lawrence Abrams Lawrence Abrams《SAP 官方 npm 包受陷,被用于供应链攻击窃取凭据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论