heise PlusAbo

Bösartige npm-Pakete: SAP-Software kompromittiert

Mehrere npm-Pakete von SAP waren einer Supply‑Chain‑Attacke ausgesetzt. Dahinter steckt die Hackergruppe TeamPCP, sagen Sicherheitsforscher.

vorlesen Druckansicht 5 Kommentare lesen
SAP Firmenschild

(Bild: Kittyfly/Shutterstock.com)

Lesezeit: 3 Min.
Developer
Von
  • Manuel Masiero
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Hackergruppe TeamPCP hat am 29. April offenbar Schadcode in mehrere npm-Pakete des deutschen Softwareunternehmens SAP eingeschleust. Die Payload der manipulierten Paketversionen stiehlt unter anderem SSH‑Schlüssel, Cloud‑Credentials, Kubernetes‑Konfigurationen und GitHub‑Token. Entwicklerinnen und Entwickler sollten umgehend handeln, empfehlen die Sicherheitsforscher von Socket.

Socket führt in seinem Blog vier bösartige npm-Pakete auf, die anscheinend von der berüchtigten Hackergruppe TeamPCP in Umlauf gebracht wurden: mbt@1.2.48, @cap-js/db-service@2.10.1, @cap-js/postgres@2.2.2 und @cap-js/sqlite@2.2.2. Die Pakete gehören zum JavaScript- und Cloud-Anwendungsentwicklungs-Ökosystem von SAP und bringen es laut den Sicherheitsforschern zusammen auf mehr als 550.000 Downloads pro Woche. Verfügbar waren die vier Pakete auf npmjs.com, der von GitHub betriebenen zentralen Paket‑Registry für JavaScript/Node.js‑Pakete.

Videos by heise

Angriff ĂĽber modifiziertes package.json

Die kompromittierten Pakete enthalten jeweils ein modifiziertes package.json mit dem preinstall‑Hook "preinstall" : "node setup.mjs". Das Skript setup.mjs wird automatisch ausgeführt, sobald jemand das Paket installiert, egal ob lokal oder in einer CI‑Pipeline. Dann stößt der Hook den Download einer Bun-Binary von GitHub an, entpackt sie und startet den Download der Payload, der 11,7 MB großen Datei execution.js.

Auf Entwicklersystemen hat es die Infostealer-Malware auf zahlreiche Datentypen abgesehen, darunter zum Beispiel auf SSH-Schlüssel und Cloud-Zugangsdaten für Amazon Web Services (AWS), Google Cloud Platform (GCP), Kubernetes und Microsoft Azure. Im Fokus stehen außerdem GitHub CLI- und npm-Token, Konfigurationsdateien und Krypto-Wallets. Die gestohlenen Daten landen anschließend verschlüsselt in einem GitHub‑Repository. Findet die Malware keine GitHub-Credentials, erstellt sie ein neues GitHub-Konto und nutzt dieses für die Exfiltration der Daten.

Shai-Hulud im Kleinformat

Die Schadversionen waren laut den Sicherheitsforschern von Onapsis insgesamt nur etwa zwei bis vier Stunden lang im Umlauf. Entwicklerinnen und Entwicklern, die die genannten Paketversionen verwenden, empfiehlt Socket dennoch eine umgehende Aktualisierung und rät außerdem dazu, sämtliche mit den Paketen genutzte Zugangsdaten zu erneuern. Bereinigte Nachfolgeversionen der Pakete stehen auf npmjs.com bereit. SAP hat den Vorfall in der Security Note 3747787 dokumentiert.

Für die Sicherheitsforscher von Socket hat die aktuelle Malware-Attacke technisch und operativ viel mit den Shai-Hulud-Angriffen gemeinsam, die letztes Jahr in großem Umfang liefen. Weil der TeamPCP-Angriff jedoch auf ein kleineres und spezifisches Ökosystem abzielt, bezeichnen sie ihn als Mini Shai‑Hulud.

(mro)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten