公式SAPのnpmパッケージが認証情報を盗むために侵害されました

複数の公式SAPのnpmパッケージが、TeamPCPの供給チェーン攻撃と考えられる攻撃に侵害され、開発者のシステムから認証情報と認証トークンを盗むものとなっています。

セキュリティ研究者によると、この侵害は4つのパッケージに影響を与え、現在NPMで廃止予定のバージョンは以下の通りです：

• @cap-js/sqlite – v2.2.2
• @cap-js/postgres – v2.2.2
• @cap-js/db-service – v2.10.1
• mbt – v1.2.48

これらのパッケージはSAPのCloud Application Programming Model（CAP）とCloud MTAをサポートしており、エンタープライズ開発で一般的に使用されています。 

AikidoとSocketの新しいレポートによると、侵害されたパッケージは、npmパッケージがインストールされるときに自動的に実行される悪意のある「preinstall」スクリプトを含めるように修正されました。 

このスクリプトはsetup.mjsという名前のローダーを起動し、GitHubからBun JavaScriptランタイムをダウンロードして、大幅に難読化されたexecution.jsペイロードを実行します。 

ペイロードは、開発者マシンとCI/CD環境の両方から、以下を含むさまざまな認証情報を盗むために使用される情報盗難ツールです：

• npmおよびGitHub認証トークン
• SSHキーと開発者認証情報
• AWS、Azure、Google Cloudのクラウド認証情報
• Kubernetes構成とシークレット
• CI/CDパイプラインのシークレットと環境変数

マルウェアはまた、CI実行マシンのメモリから直接シークレットを抽出しようとします。これは、TeamPCPが以前の供給チェーン攻撃で認証情報を抽出した方法と似ています。

「CI実行マシン上では、ペイロードは埋め込まれたPythonスクリプトを実行し、Runner.Workerプロセスの/proc/<pid>/mapsおよび/proc/<pid>/memを読み取り、CIプラットフォームによって適用されるすべてのログマスキングをバイパスして、実行マシンのメモリから「key」：{「value」：「…」、「isSecret」：true}に一致するすべてのシークレットを直接抽出します」と、Socketは説明しています。

「このシークレット用メモリスキャナーは、BitwardenおよびCheckmarx事件で記録されているものと構造的に同一です。」

データが収集されると、暗号化されて被害者のアカウントの下の公開GitHubリポジトリにアップロードされます。これらのリポジトリには「A Mini Shai-Hulud has Appeared」という説明が含まれており、これはBitwarden供給チェーン攻撃で見られた「Shai-Hulud：The Third Coming」という文字列に似ています。

マルウェアはまた、GitHubコミット検索を使用してトークンを取得し、さらにアクセスを得るためのデッドドロップメカニズムとしても機能します。

「マルウェアはこの文字列についてGitHubコミットを検索し、一致するコミットメッセージをトークンのデッドドロップとして使用します」と、Aikidoは説明しています。

「OhNoWhatsGoingOnWithGitHub：<base64>に一致するコミットメッセージはGitHubトークンにデコードされ、リポジトリアクセスについて確認されます。」

以前の攻撃と同様に、デプロイされたペイロードは他のパッケージに自己繁殖するコードも含まれています。

盗まれたnpmまたはGitHub認証情報を使用して、アクセスできた他のパッケージとリポジトリを変更し、同じ悪意のあるコードを注入してさらに拡散しようとします。 

研究者はこの攻撃を、Trivy、Checkmarx、Bitwardenに対する以前の供給チェーン攻撃で同様のコードと戦術を使用したTeamPCP脅威アクターに、中程度の信頼度でリンクしています。

脅威アクターがSAPのnpmパブリッシュプロセスをどのように侵害したかは不明ですが、セキュリティエンジニアAdnan Khanはレポートしており、NPMトークンが誤ってConfigされたCircleCIジョブ経由で公開された可能性があります。

BleepingComputerはnpmパッケージがどのように侵害されたかを知るためにSAPに連絡しましたが、出版時点での返信は受け取りませんでした。