{"id":589714,"date":"2026-04-30T08:30:25","date_gmt":"2026-04-30T11:30:25","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/30\/ataque-a-cadeia-de-suprimentos-afeta-ecossistema-sap\/"},"modified":"2026-04-30T08:30:25","modified_gmt":"2026-04-30T11:30:25","slug":"ataque-a-cadeia-de-suprimentos-afeta-ecossistema-sap","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/30\/ataque-a-cadeia-de-suprimentos-afeta-ecossistema-sap\/","title":{"rendered":"Ataque \u00e0 cadeia de suprimentos afeta ecossistema SAP"},"content":{"rendered":"<p>Uma nova campanha de ataque \u00e0 cadeia de suprimentos comprometeu quatro pacotes npm ligados ao ecossistema SAP CAP. O objetivo \u00e9 roubar credenciais de esta\u00e7\u00f5es de trabalho e de pipelines de CI\/CD. A ofensiva ficou conhecida como mini Shai Hulud.<\/p>\n<p>Os pacotes afetados incluem @cap-js\/sqlite, @cap-js\/postgres, @cap-js\/db-service e mbt. O c\u00f3digo malicioso \u00e9 inserido como scripts de pr\u00e9-instala\u00e7\u00e3o em vers\u00f5es adulteradas dos pacotes.<\/p>\n<p>O diferencial est\u00e1 no disparo do malware. Em vez de depender apenas de Node.js, o dropper baixa o runtime Bun durante a instala\u00e7\u00e3o e executa uma segunda carga \u00fatil ofuscada. Isso complica a detec\u00e7\u00e3o.<\/p>\n<p>Pesquisadores relatam que a abordagem facilita a evas\u00e3o de ferramentas de seguran\u00e7a voltadas para o ecossistema Node. A opera\u00e7\u00e3o busca obter acesso a credenciais e segredos.<\/p>\n<p>Ap\u00f3s ativa\u00e7\u00e3o, o malware coleta tokens do GitHub e do npm, vari\u00e1veis de ambiente de AWS, Azure e GCP, credenciais de Kubernetes e segredos do GitHub Actions de runners em uso. Os dados s\u00e3o criptografados e enviados a reposit\u00f3rios p\u00fablicos controlados pelos atacantes.<\/p>\n<p>A investiga\u00e7\u00e3o associa a opera\u00e7\u00e3o ao grupo TeamPCP com alto grau de confian\u00e7a, com semelhan\u00e7as a campanhas anteriores contra Trivy, LiteLLM e Checkmarx KICS. Entre os Ind\u00edcios est\u00e3o o m\u00e9todo de codifica\u00e7\u00e3o e a l\u00f3gica em ambientes com configura\u00e7\u00e3o em russo.<\/p>\n<p>Os pesquisadores apontam o uso do mesmo dropper em todos os pacotes afetados como evid\u00eancia-chave. Tamb\u00e9m destacam padr\u00f5es recorrentes na coleta de dados roubados.<\/p>\n<p>Organiza\u00e7\u00f5es que utilizam SAP CAP devem bloquear imediatamente as vers\u00f5es comprometidas, revisar depend\u00eancias em pipelines e rotacionar segredos expostos. Monitorar downloads incomuns do runtime Bun durante instala\u00e7\u00f5es via npm \u00e9 recomendado.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Quatro pacotes npm ligados ao SAP CAP foram comprometidos em uma campanha de ataque \u00e0 cadeia de suprimentos: @cap-js\/sqlite, @cap-js\/postgres, @cap-js\/db-service e mbt.<\/li>\n<li>O objetivo era roubar credenciais de esta\u00e7\u00f5es de trabalho e de pipelines de CI\/CD, com dados como tokens do GitHub e do npm, credenciais de nuvem e segredos de GitHub Actions coletados.<\/li>\n<li>O malware usa um dropper que baixa o runtime Bun durante a instala\u00e7\u00e3o e executa uma segunda carga \u00fatil ofuscada, buscando burlar ferramentas de seguran\u00e7a voltadas ao ecossistema Node.<\/li>\n<li>Pesquisadores atribuem a opera\u00e7\u00e3o ao grupo TeamPCP, apontando semelhan\u00e7as com campanhas anteriores contra Trivy, LiteLLM e Checkmarx KICS.<\/li>\n<li>Orienta\u00e7\u00e3o para organiza\u00e7\u00f5es que usam SAP CAP: bloquear as vers\u00f5es comprometidas, revisar depend\u00eancias de pipelines, rotacionar segredos expostos e monitorar downloads incomuns do runtime Bun durante instala\u00e7\u00f5es via npm.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":589735,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Nova campanha de ataque \u00e0 cadeia de suprimentos atinge quatro pacotes npm do SAP CAP, rouba credenciais e segredos, usando Bun para ocultar a carga","footnotes":""},"categories":[296,1],"tags":[84,104,169,98,132,189],"class_list":["post-589714","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-cientistas","tag-pesquisa","tag-startups","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/589714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=589714"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/589714\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/589735"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=589714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=589714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=589714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}