Sono stati rubati quattro pacchetti npm collegati al Cloud Application Programming Model di SAP. Gli hacker hanno inserito del codice in grado di sottrarre portafogli di criptovalute, credenziali cloud e chiavi SSH agli sviluppatori.
Secondo un rapporto di Socket, le versioni dei pacchetti interessati includono:
- [email protected].
- @cap-js/[email protected].
- @cap-js/[email protected].
- @cap-js/[email protected].
Complessivamente, questi pacchetti registrano circa 572.000 download a settimana da parte della community di sviluppatori SAP.
I pacchetti npm rubano le credenziali cloud e i portafogli di criptovalute
I ricercatori di sicurezza hanno spiegato che i pacchetti compromessi preinstallano uno script che scarica ed esegue un binario di runtime Bun da GitHub. Successivamente, esegue un payload JavaScript offuscato di 11,7 MB.
I file sorgente SAP originali sono ancora presenti, ma sono stati aggiunti tre nuovi file:
- un file package.json modificato.
- setup.mjs.
- execution.js.
Questi file sono stati contrassegnati con un timestamp di ore successive rispetto al codice originale. Ciò dimostra che gli archivi tar sono stati modificati dopo essere stati scaricati da una fonte legittima.
Socket ha definito la situazione "un segnale forte di una campagna di iniezione coordinata e automatizzata", dato che lo script di caricamento è identico byte per byte in tutti e quattro i pacchetti, nonostante si trovino in due namespace diversi.
Quando il payload viene eseguito, verifica se il sistema è impostato su russo e si arresta in tal caso. Successivamente, si ramifica a seconda che trovi un ambiente CI/CD, controllando 25 variabili di piattaforma, come GitHub Actions, CircleCI e Jenkins, oppure una workstation di sviluppo.
Sui computer degli sviluppatori, il malware legge oltre 80 diversi tipi di file di credenziali. Tra questi figurano chiavi private SSH, credenziali AWS e Azure, configurazioni Kubernetes, token npm e Docker, file di ambiente e portafogli di criptovalute su undici piattaforme diverse. Prende di mira anche i file di configurazione di strumenti di intelligenza artificiale come Claude e le impostazioni di Kiro MCP.
Il payload ha due livelli di crittografia. Una funzione chiamata `__decodeScrambled()` utilizza PBKDF2 con 200.000 iterazioni SHA-256 e un salt chiamato "ctf-scramble-v2" per ottenere le chiavi necessarie per decrittografare qualcosa.
Il nome della funzione, l'algoritmo, il salt e il numero di iterazioni sono gli stessi di quelli presenti nei precedenti payload di Checkmarx e Bitwarden. Ciò suggerisce che gli stessi strumenti vengano utilizzati in più campagne.
Socket sta monitorando l'attività con il nome di "TeamPCP" e ha creato una pagina di tracciamento separata per quella che definisce la campagna "mini-shai-hulud".
Gli hacker prendono di mira in modo persistente gli sviluppatori di criptovalute
La violazione dei dati del pacchetto SAP è l'ultimo di una serie di attacchi alla catena di fornitura che utilizzano i gestori di pacchetti per rubare le credenziali degli asset digitali.
Come riportato all'epoca da Cryptopolitan, nel marzo 2026 i ricercatori hanno scoperto cinque pacchetti npm con errori di tipografia che rubavano le chiavi private degli sviluppatori di Solana ed Ethereum e le inviavano a un bot di Telegram.
Un mese dopo, ReversingLabs ha scoperto una campagna chiamata PromptMink. In questa campagna, un pacchetto dannoso denominato @validate-sdk/v2 è stato aggiunto a un progetto open-source di trading di criptovalute tramite un commit generato dall'intelligenza artificiale.
Secondo quanto riportato da Cryptopolitan in merito alle scoperte di ReversingLabs, l'attacco, collegato al gruppo Famous Chollima, sostenuto dallo stato nordcoreano, si è concentrato specificamente sulle credenziali dei portafogli di criptovalute e sui segreti di sistema.
L'attacco a SAP si distingue per dimensioni e direzione. Invece di creare pacchetti falsi con nomi simili a quelli reali, gli aggressori hanno preso di mira pacchetti reali e ampiamente utilizzati, ospitati nello spazio dei nomi di SAP.
I ricercatori in materia di sicurezza raccomandano ai team che utilizzano pipeline di distribuzione basate su SAP CAP o MTA di verificare immediatamente i propri file di blocco per individuare le versioni interessate.
Gli sviluppatori che hanno installato questi pacchetti durante il periodo di vulnerabilità dovrebbero modificare le credenziali e i token eventualmente presenti nei loro ambienti di compilazione e controllare i log CI/CD per individuare eventuali richieste di rete impreviste o esecuzioni di file binari.
Secondo i ricercatori, almeno una versione interessata, @cap-js/[email protected], sembra essere già stata rimossa da npm.
Esiste una via di mezzo tra lasciare i soldi in banca e tentare la fortuna con le criptovalute. Inizia con questo video gratuito sulla finanza decentralizzata .