SAP npm Packages Hijacked: 570K Weekly Downloads Steal Crypto Wallets in Supply Chain Attack

SAP npm Packages Hijacked: 570K Weekly Downloads Steal Crypto Wallets in Supply Chain Attack

N
News Editor 01
2026-07-06 08:10:14
Four popular SAP npm packages were compromised, embedding malware that steals crypto wallets, cloud credentials, and SSH keys. The malicious payload affects ~572k weekly downloads, using techniques identical to previous campaigns targeting crypto developers.

2026年7月6日,安全研究机构Socket发布报告称,SAP Cloud Application Programming Model(CAP)生态中的四个npm包遭到供应链攻击。攻击者在正版包中注入恶意代码,专门窃取开发者的加密货币钱包数据、云服务凭证和SSH私钥。这四个被篡改的包版本分别为:mbt@1.2.48@cap-js/db-service@2.10.1@cap-js/postgres@2.2.2@cap-js/sqlite@2.2.2。据Socket统计,这四个包在SAP开发者社区中每周合计被下载约57.2万次

恶意载荷如何运作?

研究人员发现,被篡改的包在安装时会预执行一个脚本,该脚本从GitHub下载并运行Bun运行时二进制文件,随后执行一个经过混淆的11.7MB JavaScript载荷。源代码中保留了原SAP文件,但额外添加了三个新文件:修改后的package.jsonsetup.mjsexecution.js。这些文件的创建时间戳比原始代码晚数小时,表明攻击者是从真实源下载后进行了篡改。

Socket指出,四个包的加载脚本在字节级别完全相同,尽管它们分属两个不同的命名空间,这强烈暗示这是一次协调、自动化的注入攻击(代号“mini-shai-hulud”,监控标签“TeamPCP”)。恶意载荷首先检测系统语言是否为俄语,如果是则立即停止执行。随后根据环境分支:若检测到CI/CD环境(检查GitHub Actions、CircleCI、Jenkins等25种平台变量),则执行特定行为;若为开发者工作站,则开始窃取敏感信息。

在开发者本地计算机上,恶意程序会尝试读取超过80种不同类型的凭证文件,包括SSH私钥、AWS和Azure凭证、Kubernetes配置、npm和Docker令牌、环境变量文件,以及11种加密货币平台的钱包数据。甚至还包括针对AI工具(如Claude、Kiro MCP)的配置文件。载荷使用了两层加密:一个名为__decodeScrambled()的函数通过PBKDF2(200,000次SHA-256迭代,盐值“ctf-scramble-v2”)解密关键数据。该函数名、算法、盐值和迭代次数与先前Checkmarx和Bitwarden攻击中使用的载荷完全一致,表明同一工具集被用于多起攻击活动。

供应链攻击持续升级:从钓鱼到劫持正版包

SAP包的沦陷是供应链攻击的最新案例。与以往利用域名相似(typosquatting)创建虚假包不同,攻击者这次直接篡改了真实、广泛使用的正版包,严重性大幅提升。2026年3月,研究人员曾发现五个投毒npm包,通过Telegram机器人窃取Solana和以太坊开发者的私钥。同年4月,ReversingLabs揭露名为“PromptMink”的攻击:朝鲜国家支持黑客组织Famous Chollima通过AI生成的提交,将恶意包@validate-sdk/v2注入开源加密交易项目,同样瞄准加密钱包凭证和系统机密。

此次SAP攻击在规模和手法上更为激进。由于SAP CAP生态覆盖企业级应用和云原生开发,一旦开发者的工作环境被植入后门,可能导致大规模企业内网和内联的云服务泄密。加密货币钱包数据被窃取,意味着攻击者能直接控制私钥,转移数字资产。

市场影响与应对建议

此事件对加密货币和Web3开发社区敲响警钟:供应链安全已成为数字资产保护的最薄弱环节。依赖npm包管理的项目,尤其是涉及钱包集成、DeFi工具、交易机器人等,面临严重风险。投资者需警惕可能因开发者私钥泄露导致的代币抛售或项目安全事件。短期内,市场对与SAP集成的区块链项目(如SAP与Crypto的合作项目)信任度可能下降,相关代币或受情绪影响波动。

Socket建议使用SAP CAP或MTA部署管线的团队立即检查锁文件,确认是否包含受影响版本。开发者在暴露窗口期内安装过这些包的,应立即更换所有可能暴露的凭证和令牌,并检查CI/CD日志中是否存在异常网络请求或二进制执行。据报告,@cap-js/sqlite@2.2.2已从npm平台下架,但其他版本仍可能存在风险。

This article was originally published by Bit.Fan. For more cryptocurrency news and market insights, visit www.bit.fan.
300

Disclaimer:

The market information, project data, and third-party content displayed on this platform are for industry information sharing only and do not constitute any form of investment advice or return commitment.

Cryptocurrency trading carries high risks. Users should fully assess their risk tolerance and make independent decisions. All profits, losses, and legal responsibilities are borne by the users themselves.