SAP npm Packages Compromised in Supply Chain Attack Targeting Crypto Wallets and Cloud Credentials; 570k Weekly Downloads Affected

SAP npm Packages Compromised in Supply Chain Attack Targeting Crypto Wallets and Cloud Credentials; 570k Weekly Downloads Affected

N
News Editor 01
2026-07-06 08:03:14
Four SAP CAP-related npm packages were hijacked with malicious code that steals cryptocurrency wallets, cloud credentials, and SSH keys. The weekly downloads reach ~572,000. The attack uses encryption methods identical to previous Checkmarx/Bitwarden campaigns.

近期,一场针对SAP生态系统的供应链攻击引发广泛关注。据安全机构Socket披露,四个与SAP Cloud Application Programming Model(CAP)以及MTA(Multi-Target Application)部署流水线相关的npm包被恶意篡改,攻击者在其中植入了窃取加密货币钱包、云服务凭证以及SSH密钥的代码。这些受影响的包版本包括:mbt@1.2.48@cap-js/db-service@2.10.1@cap-js/postgres@2.2.2以及@cap-js/sqlite@2.2.2。据估计,这些包每周从SAP开发者社区获得的下载量合计约57.2万次,影响范围广泛。

技术细节:两层加密载荷与精确检测

安全研究人员指出,被篡改的包在解压后会预安装一个脚本,该脚本从GitHub下载并运行Bun运行时二进制文件,随后执行一个经混淆处理的11.7MB JavaScript载荷。攻击代码在保留原始SAP源文件的同时,新增了三个恶意文件:修改后的package.jsonsetup.mjs以及execution.js。这些文件的时间戳比原始代码晚数小时,表明tar包从真实源下载后被恶意替换。Socket将其描述为“一次协调、自动化注入活动的强烈信号”,因为四个包中加载器脚本的字节完全一致,尽管它们分属两个不同的命名空间。

当载荷运行时,首先检查系统语言是否为俄语——如果是则立即停止执行。随后,载荷根据环境分支执行:如果识别出CI/CD环境(通过检测GitHub Actions、CircleCI、Jenkins等25种平台变量),则按CI/CD特定路径运行;如果位于开发者工作站上,则恶意代码会扫描并读取超过80种不同类型的凭证文件,包括SSH私钥、AWS和Azure凭证、Kubernetes配置、npm与Docker令牌、环境变量文件以及来自11个不同平台的加密货币钱包。此外,它还会针对AI工具(如Claude和Kiro MCP设置)的配置文件进行窃取。载荷本身采用两层加密:一个名为__decodeScrambled()的函数使用PBKDF2算法(200,000次SHA-256迭代,盐值“ctf-scramble-v2”)获取解密密钥。函数名、算法、盐值和迭代次数与之前Checkmarx和Bitwarden攻击载荷完全一致,暗示同一工具团伙正在多起活动中使用。

与前序攻击的关联:由伪造包转向真实包

本次SAP包攻击是持续针对加密货币开发者供应链攻击的最新案例。正如Cryptopolitan此前报道,2026年3月研究人员发现五个typosquatted(拼写欺诈)npm包,专门窃取Solana和Ethereum开发者的私钥并发送至Telegram机器人。2026年4月,ReversingLabs披露名为PromptMink的活动,一个恶意包@validate-sdk/v2通过AI生成的提交混入开源加密货币交易项目中,该攻击与朝鲜背景的Famous Chollima组织有关,专门窃取加密货币钱包凭证和系统秘密。

相比之下,本次SAP攻击在规模和方向上有所不同。攻击者不再创建与真实包名称相近的虚假包,而是直接入侵了SAP官方命名空间下的真实、广泛使用的包。这一转变显示出攻击者的技术能力和目标升级,其风险远高于传统的typosquatting攻击。

市场影响与安全建议

此次供应链攻击对加密货币开发者和企业安全团队构成了直接威胁。SAP CAP框架广泛应用于企业级云应用开发,受影响的包每周下载量超过50万次,意味着大量开发环境和企业CI/CD流水线可能已暴露。若攻击者成功窃取云凭证和SSH密钥,可能导致云基础设施被渗透、数据泄露以及加密货币资产被盗。对于加密货币钱包而言,恶意载荷专门针对11个不同平台的私钥文件,直接威胁数字资产安全。

安全机构建议使用SAP CAP或MTA部署流水线的团队立即检查lockfile,确认是否包含上述受影响版本。在此期间安装这些包的开发者应立即更换可能暴露在构建环境中的所有凭证和令牌,并检查CI/CD日志中是否存在异常网络请求或二进制执行记录。据研究人员透露,至少一个受影响版本@cap-js/sqlite@2.2.2已被npm平台下架。本次事件再次凸显了加密货币行业供应链安全的脆弱性,提醒开发者对第三方包保持高度警惕,并考虑引入运行时安全监控工具。

This article was originally published by Bit.Fan. For more cryptocurrency news and market insights, visit www.bit.fan.
300

Disclaimer:

The market information, project data, and third-party content displayed on this platform are for industry information sharing only and do not constitute any form of investment advice or return commitment.

Cryptocurrency trading carries high risks. Users should fully assess their risk tolerance and make independent decisions. All profits, losses, and legal responsibilities are borne by the users themselves.