В официальные пакеты SAP npm внедрили инфостилер

Злоумышленники взломали официальные пакеты SAP npm; цель — учётные информация и токены аутентификации разработчиков. По данным Bleeping Computer, атака коснулась четырёх популярных пакетов, которые активно используются в корпоративной разработке:

• @cap-js/sqlite версии 2.2.2; 

• @cap-js/postgres версии 2.2.2; 

• @cap-js/db-service версии 2.10.1;

• mbt версии 1.2.48. 

Как обнаружили ИБ-специалисты из компаний Aikido и Socket, злоумышленники добавили в пакеты инфостилер preinstall. Он запускается автоматически и крадёт токены npm и GitHub, SSH-ключи, учётные информация облачных сервисов AWS, Azure и Google Cloud, конфигурации Kubernetes и другие данные, в том числе непосредственно из памяти CI-раннеров через встроенный Python-скрипт. Украденная данные шифруются с помощью RSA-OAEP-4096 и AES-256-GCM, а затем загружается в публичные репозитории GitHub, созданные под учётной записью жертвы.

В инфостилер также включён исходник для самораспространения на другие пакеты. С помощью украденных учётных данных npm или GitHub приложение пытается модифицировать другие пакеты и репозитории, к которым получает доступ, и внедряет тот же вредоносный код.

Исследователи связывают эту атаку с хакерской группировкой TeamPCP. Похожие атаки от этой группы ранее проводились против Trivy, Checkmarx, Bitwarden и LiteLLM.