Paket SAP npm resmi disusupi untuk mencuri kredensial

Beberapa paket resmi SAP npm telah disusupi dalam apa yang diyakini sebagai serangan rantai pasokan TeamPCP untuk mencuri kredensial dan token autentikasi dari sistem pengembang.

Peneliti keamanan melaporkan bahwa kompromi tersebut berdampak pada empat paket, dengan versi tersebut sekarang tidak digunakan lagi di NPM:

• @cap-js/sqlite – v2.2.2
• @cap-js/postgres – v2.2.2
• @cap-js/db-service – v2.10.1
• mbt – v1.2.48

Paket-paket ini mendukung Cloud Application Programming Model (CAP) SAP dan Cloud MTA, yang umumnya digunakan dalam pengembangan perusahaan.

Menurut laporan baru oleh Aikido Dan Stopkontakpaket yang disusupi telah dimodifikasi untuk menyertakan skrip ‘prainstal’ berbahaya yang dijalankan secara otomatis ketika paket npm diinstal.

Skrip ini meluncurkan pemuat bernama setup.mjs yang mengunduh runtime Bun JavaScript dari GitHub dan menggunakannya untuk mengeksekusi muatan eksekusi.js yang sangat dikaburkan.

Payload adalah pencuri informasi yang digunakan untuk mencuri berbagai kredensial dari mesin pengembang dan lingkungan CI/CD, termasuk:

• npm dan token autentikasi GitHub
• Kunci SSH dan kredensial pengembang
• Kredensial cloud untuk AWS, Azure, dan Google Cloud
• Konfigurasi dan rahasia Kubernetes
• Rahasia pipeline CI/CD dan variabel lingkungan

Malware ini juga mencoba mengekstrak rahasia langsung dari memori pelari CI, serupa dengan cara TeamPCP mengekstraksi kredensial serangan rantai pasokan sebelumnya.

“Pada pelari CI, payload mengeksekusi skrip Python tertanam yang membaca /proc//peta dan /proc//mem untuk proses Runner.Worker untuk mengekstrak setiap “kunci” :{ “value”: “…”, “isSecret”:true} rahasia yang cocok langsung dari memori runner, melewati semua penyembunyian log yang diterapkan oleh platform CI,” jelas Socket.

“Pemindai memori rahasia ini secara struktural identik dengan yang didokumentasikan dalam insiden Bitwarden dan Checkmarx.”

Setelah data dikumpulkan, data tersebut dienkripsi dan diunggah ke repositori GitHub publik dengan akun korban. Repositori ini mencakup deskripsi, “Mini Shai-Hulud telah Muncul”, yang juga mirip dengan string “Shai-Hulud: Kedatangan Ketiga” yang terlihat di Serangan rantai pasokan Bitwarden.

Malware ini juga mengandalkan penelusuran commit GitHub sebagai mekanisme dead-drop untuk mengambil token dan mendapatkan akses lebih lanjut.

“Malware mencari komitmen GitHub untuk string ini dan menggunakan pesan penerapan yang cocok sebagai token dead-drop,” jelas Aikido.

“Pesan komit yang cocok dengan OhNoWhatsGoingOnWithGitHub: didekodekan menjadi token GitHub dan diperiksa akses repositorinya.”

Mirip dengan serangan sebelumnya, payload yang dikerahkan juga menyertakan kode untuk disebarkan sendiri ke paket lain.

Dengan menggunakan kredensial npm atau GitHub yang dicuri, ia mencoba memodifikasi paket dan repositori lain yang dapat diaksesnya, dan menyuntikkan kode berbahaya yang sama untuk menyebar lebih jauh.

Para peneliti telah menghubungkan serangan ini dengan tingkat kepercayaan sedang terhadap pelaku ancaman TeamPCP, yang menggunakan kode dan taktik serupa dalam serangan rantai pasokan sebelumnya terhadap Trivy, Checkmarx, dan Bitwarden.

Meskipun tidak jelas bagaimana pelaku ancaman menyusupi proses penerbitan npm SAP, Insinyur Keamanan Adnan Khan melaporkan bahwa token NPM mungkin telah terekspos melalui pekerjaan CircleCI yang salah dikonfigurasi.

BleepingComputer menghubungi SAP untuk mempelajari bagaimana paket npm disusupi, tetapi tidak menerima balasan pada saat publikasi.