Paquetes npm maliciosos de SAP atacan los datos de las billeteras de criptomonedas

Paquetes npm de SAP comprometidos roban billeteras cripto

Un ataque a la cadena de suministro ha comprometido cuatro paquetes npm oficiales de SAP, utilizados por desarrolladores para aplicaciones en la nube. Los paquetes maliciosos roban datos de billeteras de criptomonedas, claves SSH y credenciales de la nube.

• Paquetes afectados: mbt@1.2.48, @cap-js/db-service@2.10.1, @cap-js/postgres@2.2.2, @cap-js/sqlite@2.2.2 (572.000 descargas semanales).
• Mecanismo: Los atacantes modificaron los paquetes legítimos, añadiendo un script que descarga una carga útil ofuscada de 11,7 MB desde GitHub.
• Objetivo: La carga útil se activa en entornos de desarrollador, evitando sistemas en ruso y entornos CI/CD.

Cómo opera el malware

La carga útil, con doble cifrado, escanea más de 80 tipos de archivos. Roba claves privadas SSH, credenciales de AWS/Azure, configuraciones de Kubernetes, tokens y, específicamente, datos de billeteras de criptomonedas de once plataformas. También ataca configuraciones de herramientas de IA.

Contexto y recomendaciones

Este ataque, bautizado como "mini-shai-hulud" por Socket, es parte de una tendencia creciente de ataques a desarrolladores cripto. A diferencia de campañas previas (como los paquetes typo-squatting o PromptMink), este compromete paquetes oficiales de SAP. Se recomienda a los equipos afectados:

• Revisar archivos de bloqueo y cambiar inmediatamente todas las credenciales y tokens expuestos.
• Inspeccionar registros de CI/CD en busca de actividad inusual.
• Nota: La versión @cap-js/sqlite@2.2.2 ya ha sido retirada de npm.