Злоумышленники взломали официальные пакеты SAP npm; цель — учётные данные и токены аутентификации разработчиков. По данным Bleeping Computer, атака коснулась четырёх популярных пакетов, которые активно используются в корпоративной разработке:
-
@cap-js/sqlite версии 2.2.2;
-
@cap-js/postgres версии 2.2.2;
-
@cap-js/db-service версии 2.10.1;
-
mbt версии 1.2.48.
Как обнаружили ИБ-специалисты из компаний Aikido и Socket, злоумышленники добавили в пакеты инфостилер preinstall. Он запускается автоматически и крадёт токены npm и GitHub, SSH-ключи, учётные данные облачных сервисов AWS, Azure и Google Cloud, конфигурации Kubernetes и другие данные, в том числе непосредственно из памяти CI-раннеров через встроенный Python-скрипт. Украденная информация шифруются с помощью RSA-OAEP-4096 и AES-256-GCM, а затем загружается в публичные репозитории GitHub, созданные под учётной записью жертвы.
В инфостилер также включён код для самораспространения на другие пакеты. С помощью украденных учётных данных npm или GitHub программа пытается модифицировать другие пакеты и репозитории, к которым получает доступ, и внедряет тот же вредоносный код.
Исследователи связывают эту атаку с хакерской группировкой TeamPCP. Похожие атаки от этой группы ранее проводились против Trivy, Checkmarx, Bitwarden и LiteLLM.
ссылка на оригинал статьи https://habr.com/ru/articles/1030182/