Mini Shai-Hulud: Vier SAP-NPM-Pakete in Supply-Chain-Angriff manipuliert

Zusammenfassung

Sicherheitsforscher warnen vor einem neuen Supply-Chain-Angriff auf das NPM-Ökosystem von SAP. Bei der als Mini Shai-Hulud bezeichneten Kampagne wurden vier Pakete aus dem Umfeld des SAP Cloud Application Programming (CAP) sowie der SAP-Cloud-Deployment-Workflows mit Schadcode versehen. Betroffen sind die Versionen npm mbt 1.2.48, npm @cap-js/db-service 2.10.1, npm @cap-js/postgres 2.2.2 und npm @cap-js/sqlite 2.2.2, die als bösartig markiert wurden. Zusammen kommen diese Pakete auf mehr als 500.000 wöchentliche Downloads. Es handelt sich um SAPs Cloud MTA Build Tool zum Erstellen von Multi-Target-Application-Archiven sowie um Datenbankdienst-Pakete für CAP-Software. Laut dem Sicherheitsanbieter Socket wurde den Paketen ein preinstall-Skript untergeschoben, das als Laufzeit-Bootstrapper arbeitet: Es lädt ein Bun-ZIP-Archiv aus einem GitHub-Repository, entpackt es und führt die enthaltene Bun-Binärdatei aus. Der so ausgelieferte Schadcode ist ein Informationsdieb, der lokale Zugangsdaten sowie Tokens und Cloud-Geheimnisse abgreift. Nach Angaben von Onapsis waren die manipulierten Paketversionen nur etwa zwei bis vier Stunden verfügbar, bevor sie zurückgezogen und durch saubere Versionen ersetzt wurden.

Die Schadsoftware zielt nach den vorliegenden Analysen auf lokale Zugangsdaten, GitHub- und NPM-Tokens sowie auf Geheimnisse aus AWS, Azure, GCP, GitHub Actions, Kubernetes und weiteren Cloud-Diensten. Die erbeuteten Daten werden über öffentliche GitHub-Repositories ausgeschleust, die durchgängig die fest hinterlegte Beschreibung „A Mini Shai-Hulud has Appeared" tragen.

Zusätzlich verfügt die Malware über einen Verbreitungsmechanismus. Laut Aikido prüft sie, ob GitHub-Actions-Release-Workflows vorhanden sind. Anschließend verändert sie Paket-Tarballs, fügt die Schadlast hinzu, passt die Versionsnummern an, verpackt sie neu und nutzt gestohlene GitHub-Actions-Tokens, um die manipulierten Pakete zu veröffentlichen. Das SAP-NPM-Ökosystem wurde nach Einschätzung von Aikido vermutlich über einen kompromittierten NPM-Token getroffen, der über CircleCI in Pull-Request-Builds offengelegt war.

Onapsis stuft den Angriff als erhebliche Bedrohung für Entwickler und Organisationen ein, die SAP CAP einsetzen – das Framework für S/4HANA-Erweiterungen, Fiori-App-Backends, MTAs und Integrationsabläufe. „Jeder SAP-Kunde mit JavaScript-Entwicklung zieht möglicherweise @sap/- und @cap-js/-Pakete in seine Build-Pipelines, häufig mit unscharfen Versionsbereichen und vielen transitiven Abhängigkeiten", merkt Onapsis an.

Alle Organisationen, die SAP-Business-Technology-Platform-Workflows, SAP CAP oder MTA-basierte Deployment-Pipelines nutzen, sollten prüfen, ob sie die bösartigen Paketversionen während des Zeitfensters der Verfügbarkeit installiert haben.

Das Sicherheitsunternehmen Wiz führt den Vorfall auf Grundlage technischer Überschneidungen und operativer Muster auf die Gruppe TeamPCP zurück, die sich in den vergangenen Monaten zu mehreren Supply-Chain-Angriffen bekannt hat. „Diese Einschätzung beruht auf einem gemeinsam genutzten öffentlichen RSA-Schlüssel, mit dem die abgeflossenen Geheimnisse verschlüsselt werden. Das bedeutet, dass derselbe private Schlüssel die Daten entschlüsseln würde, womit der Zugriff auf die exfiltrierten Daten auf TeamPCP beschränkt bleibt", erklärt Wiz.

Mini Shai-Hulud: Vier SAP-NPM-Pakete in Supply-Chain-Angriff manipuliert

Ähnliche Artikel

Neueste Artikel