Officiële SAP npm packages voorzien van malware die secrets steelt

In dit artikel:

Aanvallers hebben vier officiële SAP-pakketten in de npm-registry besmet met malware die bij installatie automatisch een script uitvoert en uiteenlopende geheimen rooft. Onderzoekers van Aikido en Socket ontdekten dat de kwaadaardige code onder meer SSH-sleutels, GitHub- en npm-tokens, omgevingsvariabelen, GitHub Actions secrets, AWS-/Azure- en Kubernetes-tokens, cryptowalletgegevens, VPN- en AI-configuraties, shellhistory en chats uit Signal, Slack, Telegram en Discord opvangt.

De malware probeert zich vervolgens te verspreiden door te kijken welke npm-pakketten de getroffen ontwikkelaars beheren en met gestolen npm-tokens die pakketten ook te besmetten. Socket wijst naar een mogelijke link met de groep TeamPCP, die eerder supply-chain-aanvallen uitvoerde; mogelijk maakte men misbruik van een blootgesteld npm-token.

Ontwikkelaars wordt geadviseerd verdachte pakketten te verwijderen of te vervangen, tokens en credentials te roteren, repositories en CI-secrets te controleren en lokale systemen te scannen op ongewenste scripts.