- Quatro pacotes npm ligados ao SAP CAP foram comprometidos em uma campanha de ataque à cadeia de suprimentos: @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt.
- O objetivo era roubar credenciais de estações de trabalho e de pipelines de CI/CD, com dados como tokens do GitHub e do npm, credenciais de nuvem e segredos de GitHub Actions coletados.
- O malware usa um dropper que baixa o runtime Bun durante a instalação e executa uma segunda carga útil ofuscada, buscando burlar ferramentas de segurança voltadas ao ecossistema Node.
- Pesquisadores atribuem a operação ao grupo TeamPCP, apontando semelhanças com campanhas anteriores contra Trivy, LiteLLM e Checkmarx KICS.
- Orientação para organizações que usam SAP CAP: bloquear as versões comprometidas, revisar dependências de pipelines, rotacionar segredos expostos e monitorar downloads incomuns do runtime Bun durante instalações via npm.
Uma nova campanha de ataque à cadeia de suprimentos comprometeu quatro pacotes npm ligados ao ecossistema SAP CAP. O objetivo é roubar credenciais de estações de trabalho e de pipelines de CI/CD. A ofensiva ficou conhecida como mini Shai Hulud.
Os pacotes afetados incluem @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt. O código malicioso é inserido como scripts de pré-instalação em versões adulteradas dos pacotes.
O diferencial está no disparo do malware. Em vez de depender apenas de Node.js, o dropper baixa o runtime Bun durante a instalação e executa uma segunda carga útil ofuscada. Isso complica a detecção.
Pesquisadores relatam que a abordagem facilita a evasão de ferramentas de segurança voltadas para o ecossistema Node. A operação busca obter acesso a credenciais e segredos.
Após ativação, o malware coleta tokens do GitHub e do npm, variáveis de ambiente de AWS, Azure e GCP, credenciais de Kubernetes e segredos do GitHub Actions de runners em uso. Os dados são criptografados e enviados a repositórios públicos controlados pelos atacantes.
A investigação associa a operação ao grupo TeamPCP com alto grau de confiança, com semelhanças a campanhas anteriores contra Trivy, LiteLLM e Checkmarx KICS. Entre os Indícios estão o método de codificação e a lógica em ambientes com configuração em russo.
Os pesquisadores apontam o uso do mesmo dropper em todos os pacotes afetados como evidência-chave. Também destacam padrões recorrentes na coleta de dados roubados.
Organizações que utilizam SAP CAP devem bloquear imediatamente as versões comprometidas, revisar dependências em pipelines e rotacionar segredos expostos. Monitorar downloads incomuns do runtime Bun durante instalações via npm é recomendado.
Entre na conversa da comunidade