新しいサプライチェーン攻撃の一部として、4つのSAP NPMパッケージに悪意のあるコードが注入されたと、セキュリティ研究者が警告しています。
Mini Shai-Huludと呼ばれるこのキャンペーンは、SAP Cloud Application Programming(CAP)エコシステムとSAPクラウドデプロイメントワークフローにリンクされたパッケージを標的としています。
4月29日に、4つのパッケージバージョンが悪意のあるものとしてフラグが立てられました。具体的には、npm mbt 1.2.48、npm @cap-js/db-service 2.10.1、npm @cap-js/postgres 2.2.2、およびnpm @cap-js/sqlite 2.2.2です。
週間ダウンロード数が50万以上のこれらのパッケージは、SAP Cloud MTA Build Tool(マルチターゲットアプリケーションアーカイブ構築用)およびCAPソフトウェア用のデータベースサービスパッケージです。
これらのパッケージは、Socketが報告しているように、ランタイムブートストラッパーとして機能するプレインストールスクリプトが注入されました。実行されると、スクリプトはGitHubリポジトリからBun ZIPをフェッチし、それを抽出して、含まれるBunバイナリを実行します。
Onapsisによると、悪意のあるパッケージバージョンは2~4時間利用可能でした。その後、これらは公開を取り下げられ、それに代わる正常なバージョンがリリースされました。
侵害されたパッケージを通じて配信される悪意のあるコードは、ローカル認証情報、GitHubおよびNPMトークン、AWS、Azure、GCP、GitHub Action、Kubernetes、およびその他のクラウドシークレットを標的とするインフォメーションスティーラーです。
マルウェアは、ハードコードされた説明「A Mini Shai-Hulud has Appeared」を持つ公開GitHubリポジトリを通じてそれらを流出させます。マルウェアには伝播メカニズムも含まれています。
Aikidoによると、脅威はGitHub Actionsのリリースワークフローをチェックし、パッケージtarballを変更してペイロードを追加し、バージョンを変更し、再パッケージ化し、盗まれたGitHub Actionsトークンを使用してそれらを公開します。
SAPのNPMエコシステムは、CircleCI経由でプルリクエストビルドに公開された侵害されたNPMトークンを通じて攻撃された可能性が高いと、Aikidoは述べています。
Onapsissが強調しているように、Mini Shai-Huludサプライチェーン攻撃は、SAP CAPを使用する開発者と組織に対する主要な脅威を表しており、SAP CAPはS/4HANA拡張、Fioriアプリバックエンド、MTA、および統合フローのフレームワークです。
「JavaScriptで開発するSAPの顧客は、@sap/*および@cap-js/*パッケージをビルドパイプラインにプルしている可能性があり、頻繁に緩いバージョン範囲と多くの推移的な依存関係があります」とOnapsissは指摘しています。
SAP Business Technology Platformワークフロー、SAP CAP、またはMTAベースのデプロイメントパイプラインを使用しているすべての組織は、エクスポーザーウィンドウ中に悪意のあるパッケージバージョンをインストールしたかどうかを確認する必要があります。
技術的な重複と運用パターンに基づいて、サイバーセキュリティ企業Wizは、過去数ヶ月間に複数のサプライチェーン攻撃を主張している悪名高いTeamPCPハッキンググループにこのインシデントを帰属させています。
「このアセスメントは、流出したシークレットを暗号化するために使用される共有RSA公開鍵が原因です。これは、同じ秘密鍵がペイロードを解読し、流出したデータへのアクセスをTeamPCPに限定することを意味します」と、Wizは指摘しています。
翻訳元: https://www.securityweek.com/sap-npm-packages-targeted-in-supply-chain-attack/
