SAP npm 包被劫持在窃取凭证的供应链攻击中
攻击者破坏了多个与SAP相关的npm包,部署窃取凭证的恶意软件,针对SAP BTP和云应用凭证。活动被称为迷你Shai-Hulud。
SAP npm 包被劫持在凭据窃取供应链攻击中
执行摘要
追踪为“迷你沙伊-胡卢德”的供应链攻击活动破坏了与 SAP 的 JavaScript 和云应用生态系统相关的多个 npm 包,部署了针对 SAP 商业技术平台(BTP)凭据和其他云应用机密的凭据窃取恶意软件。来自 Aikido Security、SafeDep、Socket、StepSecurity 和谷歌旗下的 Wiz 的研究人员共同识别了此次活动,该活动将恶意代码注入到合法的与 SAP 相关的 npm 包中,以收集认证令牌和 API 密钥。
技术分析
攻击者发布了或修改了看似与 SAP 开发工具和云应用框架相关的 npm 包。根据研究人员的说法,恶意代码旨在窃取 SAP BTP 的凭据,这是一个组织用来构建和运行云应用的关键企业平台。活动名称“迷你沙伊-胡卢德”参考了弗兰克·赫伯特的《沙丘》中的沙虫,这是一种有时被威胁行为者用来混淆归属的命名模式。
在多个 npm 存储库中识别出了被破坏的包。恶意软件负载在包安装或运行时执行,刮取环境变量、配置文件和 SAP 开发人员通常用于 BTP 和其他 SAP 云服务认证的存储令牌。然后,被盗的凭据被传输到攻击者控制的基础设施。
Aikido Security 指出,攻击向量反映了以前针对 npm 生态系统的供应链活动,例如涉及 typo squatting 或依赖混淆的活动。然而,此次活动特别针对 SAP 开发社区,这在历史上并非基于 npm 的供应链攻击的主要焦点。研究人员强调,攻击利用对开源包注册表的信任,以获得对企业 SAP 环境的访问权限。
Socket 和 SafeDep 提供了额外的技术细节,表明恶意代码使用混淆技术来逃避静态分析,包括字符串编码和基于环境检查的条件执行。当检测到与 SAP 相关的环境变量或配置文件时,负载才会激活,减少了在非 SAP 环境中被检测的可能性。
缓解措施与建议
使用 SAP npm 包的组织应立即审计他们的 npm 依赖项,以识别研究人员报告中识别的任何被破坏的包。防御者应轮换所有可能已暴露的凭据、API 密钥和服务帐户令牌,特别是那些用于 SAP BTP 认证的凭据。通过 lockfiles(package-lock.json 或 yarn.lock)实施包完整性验证,并使用 npm 审计工具可以帮助检测被篡改的依赖项。团队还应考虑部署运行时监控,以监控构建和开发环境中意外的出站连接。
参考资料
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
