SAP npm包遭供应链攻击:57万周下载量包体植入恶意代码窃取加密钱包

SAP npm包遭供应链攻击:57万周下载量包体植入恶意代码窃取加密钱包

N
News Editor 01
2026-07-06 08:10:14
SAP旗下的四个npm包被黑客劫持,植入加密恶意载荷,每周影响约57.2万开发者。该恶意程序窃取加密货币钱包、云凭证及SSH密钥,尤其针对开发环境中的加密货币资产。

2026年7月6日,安全研究机构Socket发布报告称,SAP Cloud Application Programming Model(CAP)生态中的四个npm包遭到供应链攻击。攻击者在正版包中注入恶意代码,专门窃取开发者的加密货币钱包数据、云服务凭证和SSH私钥。这四个被篡改的包版本分别为:mbt@1.2.48@cap-js/db-service@2.10.1@cap-js/postgres@2.2.2@cap-js/sqlite@2.2.2。据Socket统计,这四个包在SAP开发者社区中每周合计被下载约57.2万次

恶意载荷如何运作?

研究人员发现,被篡改的包在安装时会预执行一个脚本,该脚本从GitHub下载并运行Bun运行时二进制文件,随后执行一个经过混淆的11.7MB JavaScript载荷。源代码中保留了原SAP文件,但额外添加了三个新文件:修改后的package.jsonsetup.mjsexecution.js。这些文件的创建时间戳比原始代码晚数小时,表明攻击者是从真实源下载后进行了篡改。

Socket指出,四个包的加载脚本在字节级别完全相同,尽管它们分属两个不同的命名空间,这强烈暗示这是一次协调、自动化的注入攻击(代号“mini-shai-hulud”,监控标签“TeamPCP”)。恶意载荷首先检测系统语言是否为俄语,如果是则立即停止执行。随后根据环境分支:若检测到CI/CD环境(检查GitHub Actions、CircleCI、Jenkins等25种平台变量),则执行特定行为;若为开发者工作站,则开始窃取敏感信息。

在开发者本地计算机上,恶意程序会尝试读取超过80种不同类型的凭证文件,包括SSH私钥、AWS和Azure凭证、Kubernetes配置、npm和Docker令牌、环境变量文件,以及11种加密货币平台的钱包数据。甚至还包括针对AI工具(如Claude、Kiro MCP)的配置文件。载荷使用了两层加密:一个名为__decodeScrambled()的函数通过PBKDF2(200,000次SHA-256迭代,盐值“ctf-scramble-v2”)解密关键数据。该函数名、算法、盐值和迭代次数与先前Checkmarx和Bitwarden攻击中使用的载荷完全一致,表明同一工具集被用于多起攻击活动。

供应链攻击持续升级:从钓鱼到劫持正版包

SAP包的沦陷是供应链攻击的最新案例。与以往利用域名相似(typosquatting)创建虚假包不同,攻击者这次直接篡改了真实、广泛使用的正版包,严重性大幅提升。2026年3月,研究人员曾发现五个投毒npm包,通过Telegram机器人窃取Solana和以太坊开发者的私钥。同年4月,ReversingLabs揭露名为“PromptMink”的攻击:朝鲜国家支持黑客组织Famous Chollima通过AI生成的提交,将恶意包@validate-sdk/v2注入开源加密交易项目,同样瞄准加密钱包凭证和系统机密。

此次SAP攻击在规模和手法上更为激进。由于SAP CAP生态覆盖企业级应用和云原生开发,一旦开发者的工作环境被植入后门,可能导致大规模企业内网和内联的云服务泄密。加密货币钱包数据被窃取,意味着攻击者能直接控制私钥,转移数字资产。

市场影响与应对建议

此事件对加密货币和Web3开发社区敲响警钟:供应链安全已成为数字资产保护的最薄弱环节。依赖npm包管理的项目,尤其是涉及钱包集成、DeFi工具、交易机器人等,面临严重风险。投资者需警惕可能因开发者私钥泄露导致的代币抛售或项目安全事件。短期内,市场对与SAP集成的区块链项目(如SAP与Crypto的合作项目)信任度可能下降,相关代币或受情绪影响波动。

Socket建议使用SAP CAP或MTA部署管线的团队立即检查锁文件,确认是否包含受影响版本。开发者在暴露窗口期内安装过这些包的,应立即更换所有可能暴露的凭证和令牌,并检查CI/CD日志中是否存在异常网络请求或二进制执行。据报告,@cap-js/sqlite@2.2.2已从npm平台下架,但其他版本仍可能存在风险。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
200

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。