Malicious SAP-Linked npm Packages Target Crypto Wallets and Cloud Credentials

Malicious SAP-Linked npm Packages Target Crypto Wallets and Cloud Credentials

N
News Editor 01
2026-07-06 08:08:13
Four compromised npm packages tied to SAP’s CAP ecosystem were found stealing crypto wallet data, cloud credentials, and SSH keys. Security researchers warn developers and enterprises to audit dependencies, rotate secrets, and inspect CI/CD logs immediately.

软件供应链安全再次向加密行业敲响警钟。根据安全机构Socket披露,4个与SAP Cloud Application Programming Model(CAP)相关的npm软件包遭到篡改,攻击者在其中植入恶意代码,用于窃取开发者设备和构建环境中的敏感信息,包括加密钱包数据、云凭证、SSH私钥等。由于这些包在SAP开发者社区中使用广泛,事件迅速引发了对开发工具链安全的关注。

本次受影响的版本包括:mbt@1.2.48、@cap-js/db-service@2.10.1、@cap-js/postgres@2.2.2、@cap-js/sqlite@2.2.2。据报道,这些软件包合计每周下载量约为57.2万次。这意味着,一旦恶意版本进入开发流程,影响范围可能不仅限于个人开发者,还可能波及企业级CI/CD流水线、云基础设施以及涉及数字资产管理的业务系统。

恶意代码如何运作

研究人员指出,被篡改的软件包在预安装阶段会执行脚本,从GitHub下载并运行一个Bun运行时二进制文件,随后加载一个经过混淆处理、体积约11.7MB的JavaScript载荷。值得注意的是,原始SAP源码文件依然保留,但额外新增了三个文件:被修改的package.json、setup.mjs和execution.js

这些新增文件的时间戳比原始代码晚了数小时,表明攻击者很可能是在真实源码被打包后,对tarball进行了二次篡改。Socket认为,4个包中的加载器脚本在字节级别完全一致,尽管它们分属不同命名空间,这种特征构成了“协调化、自动化注入行动”的强烈信号

在执行过程中,恶意载荷会先检测系统是否设置为俄语环境,若是则停止运行。随后,它会识别目标是在CI/CD环境还是在开发者工作站上运行,识别依据涉及25个不同平台变量,包括GitHub Actions、CircleCI、Jenkins等常见自动化平台。

重点瞄准钱包、密钥与云环境

如果载荷运行在开发者电脑上,恶意程序会尝试读取80多类凭证文件。被瞄准的数据范围极广,包括SSH私钥、AWS与Azure凭证、Kubernetes配置、npm与Docker令牌、环境变量文件,以及11种不同平台上的加密钱包数据。此外,它还会搜集与AI工具相关的配置文件,例如Claude和Kiro MCP设置。

从技术细节看,该载荷采用了两层加密。一个名为__decodeScrambled()的函数使用PBKDF2算法,并执行20万次SHA-256迭代,结合名为“ctf-scramble-v2”的盐值来生成解密密钥。研究人员指出,该函数名、算法、盐值与迭代次数,与Checkmarx和Bitwarden此前观察到的恶意载荷高度一致,暗示不同攻击行动之间可能共享同一套工具链或基础设施。

Socket目前将相关活动追踪为“TeamPCP”,并为其所谓的“mini-shai-hulud”行动建立了单独的监测页面。这说明此次事件并非孤立个案,而可能是更长期供应链攻击活动中的一环。

与近期加密开发者攻击潮一脉相承

此次SAP相关包被投毒,是近期一系列针对加密开发者的软件供应链攻击中的最新案例。报道显示,2026年3月,研究人员曾发现5个仿冒npm包,它们通过名称混淆方式窃取Solana和Ethereum开发者的私钥,并将数据发送至Telegram机器人。一个月后,ReversingLabs又披露名为PromptMink的攻击活动:恶意包@validate-sdk/v2通过一条AI生成的提交记录,被植入某开源加密交易项目。

与前述仿冒包不同,SAP这次事件的危险性在于,攻击者并非简单发布近似命名的假包,而是直接侵入真实且被广泛使用的软件包,且这些包处于SAP命名空间之下。这种攻击方式更难被第一时间察觉,也更容易突破开发团队的基本防范习惯,因为受害者往往默认官方命名空间中的组件可信。

市场影响与行业启示

从市场角度看,此类事件短期内未必直接冲击主流加密资产价格,但会持续削弱市场对开发基础设施、钱包安全和开源生态的信任。尤其对于依赖自动化部署、云托管和多签钱包管理的加密企业而言,开发环境被攻破往往比前端钓鱼更具系统性风险。一旦构建服务器、密钥管理链路或钱包配置文件外泄,后续损失可能扩散至交易系统、资金托管和协议运维层面。

更深层的影响在于,攻击者正越来越多地将目标前移到开发阶段与供应链环节。这意味着,未来加密行业的安全竞争,不再只是链上审计、合约漏洞和钱包防盗之间的较量,还包括谁能更好地管理依赖、审查构建流程、隔离密钥权限并监控异常网络请求。

研究人员建议,使用SAP CAP或基于MTA部署流水线的团队应立即检查锁文件,确认是否引用了受影响版本。凡是在暴露窗口内安装过这些包的开发者和企业,都应尽快轮换可能暴露的凭证、访问令牌和密钥,并审查CI/CD日志中是否存在异常网络请求或未经授权的二进制执行记录。据称,至少@cap-js/sqlite@2.2.2这一受影响版本似乎已经从npm下架。

对加密行业而言,这起事件再次证明:真正的风险往往不只来自链上黑客,也来自开发者日常依赖的每一个软件包。随着攻击者持续把目光投向钱包凭证、云账户与自动化流程,供应链安全正成为数字资产行业不可回避的核心议题。

This article was originally published by Bit.Fan. For more cryptocurrency news and market insights, visit www.bit.fan.
500

Disclaimer:

The market information, project data, and third-party content displayed on this platform are for industry information sharing only and do not constitute any form of investment advice or return commitment.

Cryptocurrency trading carries high risks. Users should fully assess their risk tolerance and make independent decisions. All profits, losses, and legal responsibilities are borne by the users themselves.