Die Schadfunktion verbirgt sich laut Socket in einem versteckten Verzeichnis namens _runtime, das einen Downloader und eine verschleierte JavaScript-Nutzlast enthält. Beim Import des Moduls startet ein Python-Skript („start.py"), das die JavaScript-Laufzeitumgebung Bun herunterlädt und ausführt. Darüber läuft anschließend eine rund 11 MB große, verschleierte Nutzlast („router_runtime.js"), deren Ziel ein umfassender Diebstahl von Zugangsdaten ist.

Unter den abgegriffenen Daten prüft die Schadsoftware gefundene GitHub-Tokens gegen den Endpunkt „api.github[.]com/user", bevor sie damit eine wurmartige Nutzlast in bis zu 50 Branches jedes Repositorys einschleust, in das der Token schreiben darf. Socket beschreibt den Vorgang als „Upsert": Dateien, die noch nicht existieren, werden angelegt, bestehende stillschweigend überschrieben – eine Prüfung auf vorhandene Inhalte findet nicht statt. Jeder vergiftete Commit werde unter einer fest einprogrammierten Identität verfasst, die Anthropics Claude Code imitieren soll.

Zusätzlich verfügt die Malware über einen Verbreitungsweg über npm: Sie verändert die lokalen npm-Pakete des Entwicklers, indem sie in der Datei „package.json" einen postinstall-Hook einträgt, der die Nutzlast aufruft, die Patch-Versionsnummer erhöht und die .tgz-Archive neu packt. Veröffentlicht ein ahnungsloser Entwickler diese manipulierten Pakete aus seiner lokalen Umgebung, gelangen sie auf npm und von dort auf die Systeme nachgelagerter Nutzer.

Als Gegenmaßnahme wird empfohlen, die Lightning-Versionen 2.6.2 und 2.6.3 zu blockieren und von Entwicklersystemen zu entfernen, auf die letzte als sauber bekannte Version 2.6.1 zurückzugehen und in betroffenen Umgebungen offengelegte Zugangsdaten zu erneuern.

Der Angriff reiht sich in eine längere Liste von Kompromittierungen ein, die einem als TeamPCP bekannten Akteur zugeschrieben werden. Nach der Sperrung seines Kontos auf X wegen Regelverstößen betreibt die Gruppe inzwischen eine eigene Onion-Website im Darknet. TeamPCP bezeichnete LAPSUS$ als „guten Partner", der intensiv an der gesamten Operation beteiligt gewesen sei. Zudem betonte die Gruppe, sie habe „nie VECT-Verschlüsselungswerkzeuge verwendet" und besitze mit CipherForce einen eigenen, privaten Locker – eine Reaktion auf einen Bericht von Check Point Research über Schwachstellen im Verschlüsselungsverfahren der Ransomware.

In einem verwandten Fall wurde bekannt, dass auch Version 7.0.4 von intercom-client im Rahmen der Mini-Shai-Hulud-Kampagne kompromittiert wurde. Sie folgt einem ähnlichen Vorgehen wie die SAP-Pakete und löst über einen preinstall-Hook eine Schadsoftware zum Diebstahl von Zugangsdaten aus. Laut Socket ist die Überschneidung bedeutsam, weil die SAP-CAP-Kampagne anhand gemeinsamer technischer Merkmale mit TeamPCP-Aktivitäten verknüpft wurde – darunter charakteristische Muster bei der Umsetzung der Nutzlast, eine GitHub-gestützte Datenausschleusung, das Abgreifen von Zugangsdaten in Entwickler- und CI/CD-Umgebungen sowie Ähnlichkeiten zu früheren Angriffen auf Checkmarx, Bitwarden, Telnyx, LiteLLM und Aqua Security Trivy.