江蘇
關鍵詞
入侵
多個官方 SAP npm 軟件包疑似遭 TeamPCP 供應鏈攻擊,被入侵后用于竊取開發者系統中的憑證和身份驗證令牌。
安全研究人員報告稱,此次入侵影響了四個軟件包,目前這些版本在 NPM 上已標記為棄用:
@cap-js/sqlite – v2.2.2
@cap-js/postgres – v2.2.2
@cap-js/db-service – v2.10.1
mbt – v1.2.48
這些軟件包支持 SAP 的云應用程序編程模型(CAP)和云 MTA,常用于企業開發。
據 Aikido 和 Socket 的最新報告,遭入侵的軟件包被修改,加入了惡意的 “preinstall” 腳本,在安裝 npm 軟件包時會自動執行。
該腳本會啟動名為 setup.mjs 的加載程序,從 GitHub 下載 Bun JavaScript 運行時,并使用它來執行經過高度混淆的 execution.js 有效載荷。
此有效載荷是一個信息竊取程序,用于從開發者計算機和持續集成 / 持續交付(CI/CD)環境中竊取多種憑證,包括:
npm 和 GitHub 身份驗證令牌
SSH 密鑰和開發者憑證
亞馬遜網絡服務(AWS)、微軟 Azure 和谷歌云的云憑證
Kubernetes 配置和密鑰
CI/CD 管道密鑰和環境變量
該惡意軟件還嘗試直接從 CI 運行程序的內存中提取密鑰,這與 TeamPCP 在之前供應鏈攻擊中提取憑證的方式類似。
Socket 解釋說:“在 CI 運行程序上,有效載荷會執行一個嵌入的 Python 腳本,該腳本讀取 Runner.Worker 進程的 /proc/ /maps 和 /proc/ /mem,以直接從運行程序內存中提取所有匹配‘key":{"value":"...","isSecret":true} 的密鑰,繞過 CI 平臺應用的所有日志掩碼。這種密鑰內存掃描器在結構上與 Bitwarden 和 Checkmarx 事件中記錄的掃描器相同。”
一旦收集到數據,它會被加密并上傳到受害者賬戶下的公共 GitHub 存儲庫。這些存儲庫的描述為 “A Mini Shai - Hulud has Appeared”,這也與 Bitwarden 供應鏈攻擊中出現的 “Shai - Hulud: The Third Coming” 字符串類似。
與之前的攻擊類似,部署的有效載荷還包含自我傳播到其他軟件包的代碼。
利用竊取的 npm 或 GitHub 憑證,它試圖修改其獲得訪問權限的其他軟件包和存儲庫,并注入相同的惡意代碼以進一步傳播。
研究人員有一定把握將此次攻擊與 TeamPCP 威脅行為者聯系起來,他們在之前針對 Trivy、Checkmarx 和 Bitwarden 的供應鏈攻擊中使用過類似代碼和策略。
雖然尚不清楚威脅行為者是如何入侵 SAP 的 npm 發布流程,但安全工程師阿德南?汗(Adnan Khan)報告稱,可能是由于配置錯誤的 CircleCI 作業導致 NPM 令牌暴露。
BleepingComputer 聯系了 SAP,以了解 npm 軟件包是如何被入侵的,但截至發布時未收到回復。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
