Компромитирани официјални SAP npm пакети за кражба на акредитиви

Неколку официјални SAP npm пакети беа компромитирани во напад од типот supply-chain, за кој се верува дека е поврзан со TeamPCP, со цел кражба на акредитиви и токени за автентикација од системите на програмерите.

Безбедносните истражувачи известуваат дека компромитирањето погодило четири пакети, чии верзии сега се повлечени (deprecated) на NPM:

@cap-js/sqlite – v2.2.2
@cap-js/postgres – v2.2.2
@cap-js/db-service – v2.10.1
mbt – v1.2.48

Овие пакети ја поддржуваат SAP Cloud Application Programming Model (CAP) и Cloud MTA, кои најчесто се користат во корпоративен развој. Според нови извештаи од Aikido и Socket, компромитираните пакети биле изменети за да вклучуваат злонамерна „preinstall“ скрипта која автоматски се извршува при инсталација на npm пакетот.

Оваа скрипта стартува loader наречен setup.mjs, кој го презема Bun JavaScript runtime од GitHub и го користи за извршување на силно обфускиран payload наречен execution.js.

Payload-от е алатка за кражба на информации (information stealer) што се користи за прибирање на различни видови акредитиви од машините на програмерите и од CI/CD околините, вклучувајќи:

• npm и GitHub токени за автентикација
• SSH клучеви и акредитиви на програмери
• Cloud акредитиви за AWS, Azure и Google Cloud
• Kubernetes конфигурации и тајни
• Тајни од CI/CD pipeline и променливи на околината

Малверот исто така се обидува да извлече тајни директно од меморијата на CI runner-от, слично како што TeamPCP извлекувал акредитиви во претходни supply-chain напади.

„На CI runner-и, payload-от извршува вграден Python скрипт кој ги чита /proc/<pid>/maps и /proc/<pid>/mem за процесот Runner.Worker, со цел да извлече секоја тајна што одговара на форматот ‘key’: { ‘value’: ‘…’, ‘isSecret’: true } директно од меморијата на runner-от, заобиколувајќи ги сите механизми за маскирање во логовите што ги применува CI платформата“, објаснува Socket.

„Овој скенер за тајни во меморија е структурно идентичен со оној документиран во инцидентите со Bitwarden и Checkmarx.“

Откако ќе се соберат податоците, тие се енкриптираат и се прикачуваат на јавни GitHub репозиториуми под сметката на жртвата. Овие репозиториуми ја содржат описната порака: „A Mini Shai-Hulud has Appeared“, што е слично на стрингот „Shai-Hulud: The Third Coming“ забележан во supply-chain нападот врз Bitwarden.

Малверот исто така користи пребарување на GitHub commit-и како „dead-drop“ механизам за да преземе токени и да добие дополнителен пристап.

„Малверот пребарува GitHub commit-и за оваа низа и ги користи соодветните commit пораки како dead-drop за токени“, објаснува Aikido.

„Commit пораки што одговараат на форматот OhNoWhatsGoingOnWithGitHub:<base64> се декодираат во GitHub токени и се проверуваат за пристап до репозиториуми.“

Слично на претходните напади, испорачаниот payload вклучува и код за самостојно ширење.

Користејќи украдени npm или GitHub акредитиви, тој се обидува да модифицира други пакети и репозиториуми до кои ќе добие пристап, и да го вметне истиот злонамерен код за понатамошно ширење.

Истражувачите го поврзуваат овој напад со закана групата TeamPCP со средно ниво на сигурност, бидејќи користи сличен код и тактики како во претходни supply-chain напади врз Trivy, Checkmarx и Bitwarden.

Иако не е целосно јасно како напаѓачите го компромитирале SAP процесот за објавување на npm пакети, безбедносниот инженер Аднан Кан известува дека е можно npm токен да бил изложен преку погрешно конфигуриран CircleCI job.

BleepingComputer контактираше со SAP за да дознае како дошло до компромитирањето на npm пакетите, но до моментот на објавување не добиле одговор.

Извори:

• Bleeping Computer – Official SAP npm packages compromised to steal credentials Bleeping Computer