Los atacantes utilizan paquetes SAP npm como armas para robar secretos de herramientas de codificación de GitHub, la nube y la IA.

La campaña utiliza un worm malicioso llamado "Mini Shai-Hulud", que se ejecuta silenciosamente antes de que se complete cualquier instalación de npm y roba credenciales de las máquinas de desarrollo, plataformas en la nube y herramientas de codificación de IA. El ataque afectó a cuatro paquetes oficiales publicados por SAP: mbt, @cap-js/sqlite, @cap-js/postgres y @cap-js/db-service.

Ese script descarga el tiempo de ejecución de Bun JavaScript y ejecuta una payload ofuscada de 11,7 MB llamada ejecución.js, que lleva a cabo el robo de credenciales sin tocar Node.js en absoluto. Los investigadores notaron que Mini Shai-Hulud comparte el mismo arranque de tiempo de ejecución Bun v1.3.13, la misma familia de cifrado personalizado (ctf-scramble-v2) y la misma clave PBKDF2 (5012caa5847ae…) que la campaña anterior. Estos marcadores compartidos confirman que el mismo actor de amenazas está ejecutando una nueva campaña contra el ecosistema de desarrolladores CAP y MTA de SAP con una superficie de credenciales más estrecha y una palabra clave de propagación diferente. Cualquier desarrollador que haya instalado una versión comprometida en una máquina que tenga credenciales de nube o tokens de GitHub debe tratar todos los secretos de ese host como si estuvieran completamente expuestos.

PackageMalicious VersionÚltima versión limpiambt1.2.481.2.47@cap-js/sqlite2.2.22.2.1@cap-js/postgres2.2.22.2.1@cap-js/db-service2.10.12.10.0 Cómo el gusano recopila y filtra las credenciales La payload ejecuta cinco recolectores de credenciales en paralelo. La publicación Los atacantes utilizan paquetes SAP npm para robar secretos de herramientas de codificación de inteligencia artificial, la nube y GitHub apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗