與 SAP 雲端應用程式設計模型相關的四個 npm 套件被盜。駭客植入了能夠竊取開發人員加密貨幣錢包、雲端憑證和 SSH 金鑰的程式碼。
根據 Socket 的一份報告,受影響的軟體包版本包括:
- [email protected]。
- @cap-js/[email protected].
- @cap-js/[email protected]。
- @cap-js/[email protected]。
這些軟體包每週從 SAP 開發人員社群獲得約 572,000 次下載。
npm 包竊取雲端憑證和加密貨幣錢包
安全研究人員解釋說,被入侵的軟體包預先安裝了一個腳本,該腳本會從 GitHub 下載並執行 Bun 運行時二進位。然後,它會執行一個經過混淆處理的 11.7 MB JavaScript 有效載荷。
原始 SAP 原始檔仍然存在,但新增了三個檔案:
- 修改後的 package.json 檔案。
- setup.mjs。
- execution.js。
這些文件的時間戳比原始程式碼晚了幾個小時。這證明這些壓縮包是在從合法來源下載後修改的。
Socket 將這種情況稱為“有組織的自動化注入活動的強烈跡象”,因為儘管這四個套件位於兩個不同的命名空間中,但它們的載入腳本卻是逐字節相同的。
當有效載荷運作時,它會檢查系統是否設定為俄語,如果是則停止。然後,它會根據是否找到 CI/CD 環境(檢查 25 個平台變量,例如 GitHub Actions、CircleCI 和 Jenkins)或開發工作站來決定執行哪個分支。
在開發者的電腦上,該惡意軟體會讀取超過 80 種不同類型的憑證檔案。這些檔案包括 SSH 私鑰、AWS 和 Azure 憑證、Kubernetes 設定、npm 和 Docker 代幣、環境變數檔案以及跨 11 個不同平台的加密貨幣錢包。它還會攻擊 Claude 和 Kiro MCP 等 AI 工具的設定檔。
有效載荷具有兩層加密。名為 `__decodeScrambled()` 的函數使用 PBKDF2 演算法,進行 20 萬次 SHA-256 迭代,並使用名為「ctf-scramble-v2」的鹽值來取得解密所需的金鑰。
函數名稱、演算法、鹽值和迭代次數與先前 Checkmarx 和 Bitwarden 攻擊負載中的相同。這表明多個攻擊活動使用了相同的工具。
Socket 正在以「TeamPCP」的名義追蹤該活動,並為所謂的「mini-shai-hulud」活動創建了一個單獨的追蹤頁面。
駭客持續攻擊加密貨幣開發商
SAP軟體包資料外洩事件是利用軟體套件管理器竊取數位資產憑證的一系列供應鏈攻擊中的最新一起。
根據 Cryptopolitan 當時報道,2026 年 3 月,研究人員發現了五個拼字錯誤百出的 npm 包,這些包竊取了 Solana 和以太坊開發者的私鑰,並將它們發送給了一個 Telegram 機器人。
一個月後,ReversingLabs發現了一個名為PromptMink的攻擊活動。在該活動中,一個名為@validate-sdk/v2的惡意軟體包透過人工智慧產生的提交被添加到了一個開源加密貨幣交易專案中。
根據 Cryptopolitan 報道,ReversingLabs 的調查結果顯示,這次攻擊與北韓官方支持的組織 Famous Chollima 有關,其目標明確,就是加密貨幣錢包憑證和系統機密。
SAP攻擊的顯著特徵在於其規模和方向。攻擊者並沒有創建名稱與真實軟體包相似的虛假軟體包,而是直接攻擊了SAP命名空間中託管的真實且廣泛使用的軟體包。
安全研究人員建議使用 SAP CAP 或基於 MTA 的部署管道的團隊立即檢查其鎖定檔案是否有受影響的版本。
在漏洞期間安裝了這些軟體包的開發人員應更改其建置環境中存在的任何憑證和令牌,並檢查 CI/CD 日誌中是否存在任何意外的網路請求或二進位執行。
據研究人員稱,至少有一個受影響的建置版本 @cap-js/[email protected] 似乎已經從 npm 中移除。
把錢存在銀行和碰運氣投資加密貨幣之間還有一種折衷的選擇。觀看這段關於去中心化金融的免費視頻,即可開始了解。