Un ataque dirigido de código campechano por parte de TeamPCP comprometió los paquetes npm de SAP para robar secretos de los desarrolladores e infiltrarse en los canales empresariales, lo que indica un cambio con destino a amenazas de precisión a la condena de suministro.
Un ataque dirigido a la condena de suministro de código campechano ha afectado al ecosistema de desarrolladores de SAP, y el clase de delitos cibernéticos TeamPCP comprometió varios paquetes npm mediante una campaña “Mini Shai-Hulud”. Los atacantes inyectaron scripts de preinstalación maliciosos en paquetes ampliamente utilizados, lo que permitió la ejecución cibernética tras la instalación.
Los paquetes afectados: @cap-js/sqlite (v2.2.2), @cap-js/postgres (v2.2.2), @cap-js/db-service (v2.10.1) y mbt (v1.2.48) son parte integral del maniquí de programación de aplicaciones en la cirro (CAP) y la aparejo de compilación Cloud MTA (MBT) de SAP, lo que los convierte en objetivos de parada valencia interiormente de los canales de CI/CD empresariales.
Según los investigadores de Wiz, “La campaña aprovecha una carga útil de varias etapas para resumir secretos de desarrolladores y CI/CD en GitHub, npm y los principales proveedores de cirro, y extrae los datos a través de repositorios de GitHub controlados por atacantes. Todavía contiene código diseñado para propagarse a través de tokens comprometidos”.
Los paquetes, con cientos de miles de descargas semanales, ofrecieron a los atacantes un significación significativo. “En extensión de tumbarse a través de muchos paquetes aleatorios, éste afectó a SAP… el valencia potencial de cada entorno comprometido puede ser muy parada”, afirmó Raphael Silva.
El ataque se atribuye a TeamPCP y se zócalo en técnicas compartidas, incluido el oculto basado en RSA y cargas efectos de varias etapas, y sigue compromisos anteriores de herramientas de código campechano como Trivy y KICS. Si perfectamente existen referencias a ataques anteriores de Shai-Hulud, Wiz no notó ningún vínculo confirmado.
Los investigadores sugieren una tubería CircleCI mal configurada que expone los tokens npm como un posible punto de entrada, aunque no la única causa. Todavía han surgido técnicas similares en ataques a paquetes PyPI y npm, lo que indica un significación en expansión.
Se eliminaron los paquetes comprometidos y se instó a las organizaciones a auditar las dependencias y rotar todas las credenciales.
About The Author
