Шкідливі пакети SAP npm націлені на дані криптогаманців

Чотири npm-пакети, пов'язані з моделлю хмарного програмування SAP, були викрадені. Хакери додали код, який краде криптовалютні гаманці, хмарні облікові дані та SSH-ключі у розробників.

Згідно зі звітом Socket, постраждалі версії пакетів включають:

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

Разом ці пакети отримують близько 572 000 завантажень на тиждень від спільноти розробників SAP.

npm-пакети крадуть хмарні облікові дані та криптовалютні гаманці

Дослідники безпеки пояснили, що зламані пакети попередньо встановлюють скрипт, який завантажує та запускає бінарний файл середовища виконання Bun з GitHub. Після цього запускається обфускований JavaScript-payload розміром 11,7 МБ.

Оригінальні вихідні файли SAP залишилися на місці, але з'явилися три додаткові нові файли:

• змінений package.json.
• setup.mjs.
• execution.js.

Ці файли мають часову мітку, яка на кілька годин пізніша за реальний код. Це свідчить про те, що tar-архіви були змінені після завантаження з реального джерела.

Socket назвав це «сильним сигналом скоординованої, автоматизованої кампанії впровадження», оскільки скрипт-завантажувач є побайтово ідентичним у всіх чотирьох пакетах, навіть незважаючи на те, що вони знаходяться у двох різних просторах імен.

Під час запуску payload перевіряє, чи встановлено в системі російську мову, і зупиняється, якщо це так. Потім він розгалужується залежно від того, чи виявляє середовище CI/CD, перевіряючи 25 змінних платформи, таких як GitHub Actions, CircleCI та Jenkins, або робочу станцію розробника.

На комп'ютерах розробників шкідливе програмне забезпечення зчитує понад 80 різних типів файлів облікових даних. Серед них — приватні SSH-ключі, облікові дані AWS та Azure, конфігурації Kubernetes, токени npm та Docker, файли середовища та криптовалютні гаманці на одинадцяти різних платформах. Воно також перехоплює файли конфігурації для інструментів штучного інтелекту, таких як налаштування Claude та Kiro MCP.

Payload має два рівні шифрування. Функція `__decodeScrambled()` використовує PBKDF2 з 200 000 ітерацій SHA-256 та сіль під назвою "ctf-scramble-v2" для отримання ключів, необхідних для розшифровки.

Назва функції, алгоритм, сіль та кількість ітерацій збігаються з тими, що використовувалися в попередніх payload Checkmarx та Bitwarden. Це свідчить про те, що одні й ті самі інструменти застосовуються в кількох кампаніях.

Socket стежить за активністю під назвою "TeamPCP" та створив окрему сторінку відстеження для того, що називає кампанією "mini-shai-hulud".

Хакери наполегливо атакують розробників криптовалют

Компрометація пакетів SAP є найсвіжішим прикладом у серії атак на ланцюг постачання, які використовують менеджери пакетів для крадіжки облікових даних цифрових активів.

Як повідомляв Cryptopolitan, у березні 2026 року дослідники виявили п'ять npm-пакетів з тайпсквотингом, які викрадали приватні ключі у розробників Solana та Ethereum і надсилали їх Telegram-боту.

ReversingLabs виявив кампанію під назвою PromptMink місяць по тому. У цій кампанії шкідливий пакет @validate-sdk/v2 був доданий до проєкту з відкритим вихідним кодом для торгівлі криптовалютами через коміт, згенерований штучним інтелектом.

У матеріалах Cryptopolitan про знахідки ReversingLabs зазначається, що атака, пов'язана з північнокорейським угрупованням Famous Chollima, яке фінансується державою, була спрямована саме на облікові дані криптовалютних гаманців та системні секрети.

Атака на SAP відрізняється за масштабом та спрямованістю. Замість створення підроблених пакетів із назвами, схожими на реальні, зловмисники проникли у справжні, широко використовувані пакети, що зберігалися в просторі імен SAP.

Дослідники безпеки рекомендують командам, які використовують конвеєри розгортання на основі SAP CAP або MTA, негайно перевірити свої lockfile на наявність уражених версій.

Розробники, які встановили ці пакети у вікні уразливості, повинні змінити будь-які облікові дані та токени, що могли бути доступні в їхніх середовищах збірки, а також перевірити журнали CI/CD на наявність будь-яких неочікуваних мережевих запитів або виконання бінарних файлів.

За даними дослідників, принаймні одна уражена версія, @cap-js/sqlite@2.2.2, схоже, вже була видалена з npm.

Ваш банк використовує ваші гроші. Вам дістаються лише крихти. Перегляньте наше безкоштовне відео про те, як стати власним банком