首页
安全
资讯
社区
AI
关于
登录
注册
投稿
扫码查看手机版
程序园首页
专栏
社区
赞助
代码教程
软件工具
程序源码
申请VIP
投稿
HOT
公众号矩阵
移动端
登录
/注册
首页
业界
网络安全
人工智能
区块链
社区
程序园
广播
专栏
账号
自动登录
找回密码
密码
登录
立即注册
搜索
搜索
热搜
程序源码
软件工具
代码教程
网络安全
人工智能
区块链
资讯
本版
文章
帖子
用户
好友
收藏
道具
勋章
相册
分享
设置
我的收藏
退出
程序园
»
社区
›
原创专区
›
投稿
›
官方 SAP npm 软件包遭入侵,用于窃取凭证 ...
返回列表
官方 SAP npm 软件包遭入侵,用于窃取凭证
[复制链接]
作者:
admin
|
时间:
2026-5-1 12:38:17
|
阅读:144
|
显示全部楼层
马上注册,让你轻松玩转程序园
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击,被入侵后用于窃取开发者系统中的凭证和身份验证令牌。
安全研究人员报告称,此次入侵影响了四个软件包,目前这些版本在 NPM 上已标记为弃用:
@cap-js/sqlite – v2.2.2
@cap-js/postgres – v2.2.2
@cap-js/db-service – v2.10.1
mbt – v1.2.48
这些软件包支持 SAP 的云应用程序编程模型(CAP)和云 MTA,常用于企业开发。
据 Aikido 和 Socket 的最新报告,遭入侵的软件包被修改,加入了恶意的 “preinstall” 脚本,在安装 npm 软件包时会自动执行。
该脚本会启动名为 setup.mjs 的加载程序,从 GitHub 下载 Bun JavaScript 运行时,并使用它来执行经过高度混淆的 execution.js 有效载荷。
此有效载荷是一个信息窃取程序,用于从开发者计算机和持续集成 / 持续交付(CI/CD)环境中窃取多种凭证,包括:
npm 和 GitHub 身份验证令牌
SSH 密钥和开发者凭证
亚马逊网络服务(AWS)、微软 Azure 和谷歌云的云凭证
Kubernetes 配置和密钥
CI/CD 管道密钥和环境变量
该恶意软件还尝试直接从 CI 运行程序的内存中提取密钥,这与 TeamPCP 在之前供应链攻击中提取凭证的方式类似。
Socket 解释说:“在 CI 运行程序上,有效载荷会执行一个嵌入的 Python 脚本,该脚本读取 Runner.Worker 进程的 /proc/<pid>/maps 和 /proc/<pid>/mem,以直接从运行程序内存中提取所有匹配‘key":{"value":"...","isSecret":true} 的密钥,绕过 CI 平台应用的所有日志掩码。这种密钥内存扫描器在结构上与 Bitwarden 和 Checkmarx 事件中记录的扫描器相同。”
一旦收集到数据,它会被加密并上传到受害者账户下的公共 GitHub 存储库。这些存储库的描述为 “A Mini Shai - Hulud has Appeared”,这也与 Bitwarden 供应链攻击中出现的 “Shai - Hulud: The Third Coming” 字符串类似。
与之前的攻击类似,部署的有效载荷还包含自我传播到其他软件包的代码。
利用窃取的 npm 或 GitHub 凭证,它试图修改其获得访问权限的其他软件包和存储库,并注入相同的恶意代码以进一步传播。
研究人员有一定把握将此次攻击与 TeamPCP 威胁行为者联系起来,他们在之前针对 Trivy、Checkmarx 和 Bitwarden 的供应链攻击中使用过类似代码和策略。
虽然尚不清楚威胁行为者是如何入侵 SAP 的 npm 发布流程,但安全工程师阿德南・汗(Adnan Khan)报告称,可能是由于配置错误的 CircleCI 作业导致 NPM 令牌暴露。
BleepingComputer 联系了 SAP,以了解 npm 软件包是如何被入侵的,但截至发布时未收到回复。
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
返回列表
发表新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagram 账户可能遭到入侵
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件,将载荷隐藏在 Windows 数据流中
浏览过的版块
问答库
程序源码
admin
关注Ta
主题 257
帖子 253
积分 679
程序园专栏内容编辑
•
修正版泛目录程序
•
52吃瓜网落地页
•
emet是什么恶意软件检测
•
招聘中 产品经理 12-24K
•
泛x程序,适合做x领域的泛程序
•
强制git pull覆盖本地文件的方法
•
色界导航站程序源码
•
百度泛2程序,批量推送效果好
阅读作者更多精彩帖子
新型 Gaslight macOS 恶意软件利用提示注入
一种此前未被记录的基于 Rust 的 macOS 植入程序和信息窃取器被发现嵌入了提示注入载
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案
日本能源公司丢失存储有 1090 万客户数据的
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一
The Gentlemen 勒索软件声称有 478 名受害
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属
Silent Ransom Group 通过虚假 IT 支持电话
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针
思科预警 2026 年第 7 个 SD-WAN 零日漏洞
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
CISA 将正在被利用的 SolarWinds Serv-U Do
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器