Supply-Chain-AngriffeMalwareCyberkriminalität

SAP-Pakete gehackt: TeamPCP greift npm-Abhängigkeiten an

Von CyberDeutsch Redaktion
SAP-Pakete gehackt: TeamPCP greift npm-Abhängigkeiten an
Zusammenfassung

Die Cyberkriminellen-Gruppe TeamPCP hat diese Woche mehrere npm-Pakete von SAP mit einer sogenannten "Mini Shai-Hulud"-Attacke kompromittiert und damit ihre umfangreiche Lieferkettenattacke fortgesetzt. Vier Pakete für SAP's Cloud Application Programming Model (CAP) und Cloud MTA Build Tool (MBT) wurden mit böswilligen Skripten infiziert, die beim Installieren der Abhängigkeiten automatisch ausgeführt werden. Die Malware wurde kurz nach der Veröffentlichung am Mittwoch von mehreren Cybersecurity-Anbietern wie Wiz, Socket und Aikido Security entdeckt und schnell entfernt. Die Angriffe zielen darauf ab, Entwickler- und CI/CD-Geheimnisse zu sammeln und diese über kompromittierte GitHub-Repositories zu exfiltrieren. Besonders kritisch ist die Bedeutung dieser Attacke für Unternehmensumgebungen: Die vier betroffenen SAP-Pakete werden von Hunderttausenden von Entwicklern wöchentlich heruntergeladen und sind direkt in SAP-Cloud-Deployment-Workflows integriert. Für deutsche Unternehmen und Behörden, die SAP-Systeme nutzen, besteht ein erhebliches Risiko, da gestohlene Zugangsdaten für GitHub, Cloud-Provider und Kubernetes zur Kompromittierung weiterer Systeme und möglicherweise zur Verletzung von Kundensystemen genutzt werden können. Sicherheitsexperten warnen vor weiteren Folgen dieser Kampagne und empfehlen eine sofortige Überprüfung aller Systeme auf Infektionen sowie eine vollständige Rotation aller kompromittierten Zugangsdaten.

Die “Mini Shai-Hulud”-Kampagne markiert eine Eskalation von TeamPCPs Supply-Chain-Strategie. Während die Gruppe bislang zahlreiche kleinere Open-Source-Projekte wie den Sicherheitsscanner Trivy oder das Code-Analyse-Tool KICS kompromittiert hat, zielt sie nun auf hochfrequentierte Enterprise-Software ab. Die vier betroffenen Pakete – @cap-js/sqlite (v2.2.2), @cap-js/postgres (v2.2.2), @cap-js/db-service (v2.10.1) und mbt (v1.2.48) – verzeichnen Hunderttausende Downloads pro Woche und sind direkt in SAP-Cloud-Deployment-Workflows integriert.

Die Malware funktioniert mehrstufig: Sie sammelt systematisch Credentials aus GitHub, npm, Kubernetes, CI/CD-Systemen und Cloud-Providern und exfiltriert diese über attacker-controlled GitHub-Repositories. Besonders perfide ist die Propagationsfähigkeit – gestohlene Token werden zur Kompromittierung weiterer Repositories genutzt, was zu kaskadierende Angriffen führt.

Wiz-Forscher vermuten, dass Angreifer über ein misconfiguriertes CircleCI-Build-System Zugang zu npm-Publish-Tokens des SAP/cloud-mta-build-tool-Repositories erlangten. Dieser initiale Zugriff ermöglichte dann die Verunreinigung der vier SAP-Pakete. Der “Mini Shai-Hulud”-Name referenziert frühere Wurm-Kampagnen gegen npm-Pakete seit September 2025, lässt sich aber nicht definitiv mit der aktuellen TeamPCP-Operation verknüpfen.

Gemäß Socket-Forschern wurden parallel auch das PyPI-Paket “lightning” und ein npm-Paket von Intercom mit identischer Malware-Infrastruktur kompromittiert – ein Zeichen für koordinierte, skalierbare Angriffe.

Deutsche Unternehmen, besonders im Mittelstand, die SAP-Cloud-Lösungen einsetzen, sollten sofort handeln: Alle internen Systems und CI/CD-Pipelines müssen auf die betroffenen Pakete überprüft werden. Alle Secrets – npm-Tokens, GitHub-PATs, Cloud-Credentials, Kubernetes-Konfigurationen – müssen rotiert werden. Das BSI empfiehlt zusätzlich, Lockfiles und Artifact-Stores zu analysieren und Logs auf verdächtige Aktivitäten zu untersuchen. Organisationen sollten zudem ihre Zulieferketten-Governance überprüfen und npm-Registry-Zugriffe stärker kontrollieren. Betroffene Datenpannen sind dem BfDI zu melden.

Ähnliche Artikel