### 侵害されたパッケージ セキュリティ研究者によって、NPMで現在非推奨となっている4つの侵害されたパッケージが特定されました。 * `@cap-js/sqlite` – v2.2.2 * `@cap-js/postgres` – v2.2.2 * `@cap-js/db-service` – v2.10.1 * `mbt` – v1.2.48 これらのパッケージは、エンタープライズ開発で広く使用されている**SAP**のCloud Application Programming Model (CAP) および Cloud MTA をサポートしています。 ### 攻撃ベクトル **Aikido**と**Socket**のレポートによると、侵害されたパッケージには悪意のある「preinstall」スクリプトが含まれていました。このスクリプトはパッケージのインストール時に自動的に実行され、`setup.mjs` というローダーを起動します。ローダーはGitHubからBun JavaScriptランタイムをダウンロードし、それを使用して高度に難読化された`execution.js` payloadを実行します。 ### 情報窃盗ペイロード このペイロードは情報窃盗プログラムとして機能し、開発者マシンとCI/CD環境の両方から、以下を含む幅広い認証情報を標的とします。 * npmおよびGitHubの認証トークン * SSHキーおよび開発者認証情報 * **AWS**、**Azure**、**Google Cloud**のクラウド認証情報 * Kubernetesの設定およびシークレット * CI/CDパイプラインのシークレットおよび環境変数 このマルウェアは、以前の**TeamPCP**の攻撃と同様に、CIランナーのメモリから直接シークレットを抽出する試みも行います。 > Socketは次のように説明しています。「CIランナーでは、ペイロードは埋め込まれたPythonスクリプトを実行し、Runner.Workerプロセスの`/proc/<pid>/maps` および `/proc/<pid>/mem` を読み取って、CIプラットフォームによって適用されたログマスキングをすべてバイパスし、Runnerメモリから直接`'key': { 'value': '...', 'isSecret':true}` に一致するすべてのシークレットを抽出します。」 ### データ送出およびデッドドロップメカニズムとしてのGitHub 収集されたデータは暗号化され、被害者のアカウント下の公開GitHubリポジトリにアップロードされます。これらのリポジトリには、「A Mini Shai-Hulud has Appeared」という説明が含まれており、これは**Bitwarden**のサプライチェーン攻撃を彷彿とさせます。  *「A Mini Shai-Hulud has Appeared」という説明で作成されたGithubリポジトリ* *出典: Aikido* このマルウェアは、トークンを取得するためのデッドドロップメカニズムとしてGitHubコミット検索も利用します。 > Aikidoは次のように説明しています。「マルウェアは、この文字列をGitHubコミットで検索し、一致するコミットメッセージをトークンのデッドドロップとして使用します。コミットメッセージが`OhNoWhatsGoingOnWithGitHub:<base64>`と一致する場合、それはGitHubトークンにデコードされ、リポジトリへのアクセスが確認されます。」 ### 自己増殖 以前の攻撃と同様に、このペイロードには他のパッケージに自己増殖するためのコードが含まれています。盗まれたnpmまたはGitHubの認証情報を使用して、アクセスできる他のパッケージやリポジトリを変更し、同じ悪意のあるコードを注入して侵害をさらに広げようとします。 ### 帰属 研究者たちは、**Trivy**、**Checkmarx**、**Bitwarden**に対する以前のサプライチェーン攻撃で使用された類似のコードと戦術を引用し、中程度の確信度で**TeamPCP**がこの攻撃の背後にいると評価しています。 ### 調査中 **SAP**のnpm公開プロセスがどのように侵害されたのかは不明なままです。あるセキュリティエンジニアは、NPMトークンが設定ミスのある**CircleCI**ジョブを通じて漏洩した可能性があると示唆しました。 **SAP**は、この件に関するコメントの要請にまだ応じていません。