SAP エコシステム開発者を対象とした洗練されたサプライチェーン攻撃が発覚し、脅威アクターグループ TeamPCP が認証情報を盗む悪意のあるソフトウェアを広く使われている SAP npm パッケージに注入していました。
これは開発者ワークステーションとCI/CDパイプラインの両方を対象とし、GitHub トークン、npm 認証情報、AWS/Azure/GCP クラウドシークレット、Kubernetes トークン、および GitHub Actions シークレット(ランナーメモリから直接抽出されたシークレットを含む)を盗みます。
盗まれたすべてのデータは暗号化され、GraphQL API を使用して攻撃者が管理する GitHub リポジトリに流出されます。リポジトリ名は「単語1-単語2-数字」という一貫した命名スキームに従い、リポジトリの説明は「Checkmarx Configuration Storage」というラベルが付けられています。
このキャンペーンは、以前の TeamPCP 操作と比べていくつかの技術的な進化をもたらしています。
特に注目されるのは、GitHub ベースの流出が フォールバック ではなく現在は主要なメカニズムになっており、操作が REST API から GraphQL API にシフトして暗号化されたペイロードを投稿していることです。
また、マルウェアは GitHub リポジトリ ポイズニング用のフォールバックも導入しています。GitHub Personal Access Token (PAT) または OAuth トークンが検出されず、GITHUB_REPOSITORYが設定されている場合、マルウェアは Claude Code と VS Code ユーザーを対象とした悪意のあるファイルを植え付けることで、被害者のリポジトリに感染を試みます。
さらに、これは Chrome、Safari、Edge、Brave、Chromium のパスワードストアを対象とするブラウザ認証情報の盗難を含む最初の TeamPCP 操作であり、この機能は以前のすべてのキャンペーンで存在していませんでした。
初期化中、マルウェアはシステムロケール設定と環境言語変数を検査します。
追加の重複には、同一のエンコード ルーチン、Bitwarden CLI 侵害で使用されたのと同じ npm install フック実行方法、および一貫性のある地域ベースの終了ロジックが含まれます。
これらのパッケージバージョンを使用している開発者は、すぐに公開されているすべての認証情報をローテーションし、CI/CD パイプライン シークレットを監査し、侵害の兆候についてまわりの環境をスキャンする必要があります。
組織は依存関係の整合性チェックを強化し、ビルド環境から GitHub API への外部へのアクセスを制限する必要があります。
翻訳元: https://cyberpress.org/sap-npm-packages-compromised/
