Nhiều gói npm chính thức của SAP đã bị xâm phạm trong cuộc tấn công được cho là cuộc tấn công chuỗi cung ứng TeamPCP nhằm đánh cắp thông tin xác thực và mã thông báo xác thực từ hệ thống của nhà phát triển.
Các nhà nghiên cứu bảo mật báo cáo rằng sự xâm phạm đã ảnh hưởng đến bốn gói, với các phiên bản hiện không được dùng nữa trên NPM:
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – v2.10.1
- mbt – v1.2.48
Các gói này hỗ trợ Mô hình lập trình ứng dụng đám mây (CAP) và Cloud MTA của SAP, thường được sử dụng trong phát triển doanh nghiệp.
Theo báo cáo mới của Aikido và Socket, các gói bị xâm nhập đã được sửa đổi để bao gồm tập lệnh 'cài đặt sẵn' độc hại, tập lệnh này tự động thực thi khi gói npm được cài đặt.
Tập lệnh này khởi chạy một trình tải có tên setup.mjs tải xuống thời gian chạy Bun JavaScript từ GitHub và sử dụng nó để thực thi một tải trọng exec.js bị xáo trộn nghiêm trọng.
Tải trọng là một công cụ đánh cắp thông tin dùng để đánh cắp nhiều loại thông tin xác thực từ cả máy của nhà phát triển và môi trường CI/CD, bao gồm:
- Mã thông báo xác thực npm và GitHub
- Khóa SSH và thông tin xác thực của nhà phát triển
- Thông tin xác thực trên đám mây cho AWS, Azure và Google Cloud
- Cấu hình và bí mật của Kubernetes
- Bí mật đường dẫn CI/CD và các biến môi trường
Phần mềm độc hại cũng cố gắng trích xuất bí mật trực tiếp từ bộ nhớ của trình chạy CI, tương tự như cách TeamPCP trích xuất thông tin xác thực trong các cuộc tấn công chuỗi cung ứng trước đây.
Socket giải thích:"Trên các trình chạy CI, tải trọng thực thi một tập lệnh Python nhúng đọc /proc/
"Máy quét bộ nhớ để tìm bí mật này có cấu trúc giống hệt với máy quét được ghi lại trong sự cố Bitwarden và Checkmarx."
Sau khi dữ liệu được thu thập, nó sẽ được mã hóa và tải lên kho GitHub công khai trong tài khoản của nạn nhân. Các kho lưu trữ này bao gồm mô tả "Một Mini Shai-Hulud đã xuất hiện", cũng tương tự như chuỗi "Shai-Hulud:The Third Coming" được thấy trong cuộc tấn công chuỗi cung ứng Bitwarden.
Các kho lưu trữ trên Github được tạo với mô tả "Một Mini Shai-Hulud đã xuất hiện" Nguồn:Aikido
Phần mềm độc hại cũng dựa vào các tìm kiếm cam kết của GitHub như một cơ chế không cần thiết để truy xuất mã thông báo và có thêm quyền truy cập.
Aikido giải thích:“Phần mềm độc hại tìm kiếm GitHub cam kết chuỗi này và sử dụng các thông báo cam kết phù hợp dưới dạng mã thông báo chết”.
"Thông báo cam kết khớp với OhNoWhatsGoingOnWithGitHub:
Tương tự như các cuộc tấn công trước, payload được triển khai cũng bao gồm mã để tự lan truyền sang các gói khác.
Bằng cách sử dụng thông tin đăng nhập npm hoặc GitHub bị đánh cắp, nó cố gắng sửa đổi các gói và kho lưu trữ khác mà nó có quyền truy cập, đồng thời tiêm cùng một mã độc hại để lây lan thêm.
Các nhà nghiên cứu đã liên kết cuộc tấn công này với độ tin cậy trung bình với những kẻ đe dọa TeamPCP, những kẻ đã sử dụng mã và chiến thuật tương tự trong các cuộc tấn công chuỗi cung ứng trước đây chống lại Trivy, Checkmarx và Bitwarden.
Mặc dù không rõ bằng cách nào mà các tác nhân đe dọa đã xâm phạm quy trình xuất bản npm của SAP, Kỹ sư bảo mật Adnan Khan báo cáo rằng mã thông báo NPM có thể đã bị lộ thông qua công việc CircleCI bị định cấu hình sai.
BleepingComputer đã liên hệ với SAP để tìm hiểu xem các gói npm bị xâm phạm như thế nào nhưng không nhận được phản hồi tại thời điểm xuất bản.
99% những điều thần thoại được tìm thấy vẫn chưa được vá.
AI đã xâu chuỗi bốn lỗ hổng zero-day thành một lần khai thác vượt qua cả hộp cát kết xuất và hệ điều hành. Một làn sóng khai thác mới đang đến.
Tại Hội nghị thượng đỉnh về xác thực tự động (ngày 12 và 14 tháng 5), hãy xem cách xác thực tự động, giàu ngữ cảnh tìm ra những gì có thể khai thác được, chứng minh các biện pháp kiểm soát được giữ nguyên và đóng vòng lặp khắc phục.
Yêu cầu vị trí của bạn