Supply chain атака компрометира npm пакети, използвани в SAP среди
Зловреден код в популярни пакети за SAP разработка позволява кражба на credentials и компрометиране на CI/CD процеси.
Нова supply chain атака засегна npm пакети, използвани в SAP JavaScript и cloud development среди, като внедри credential-stealing malware директно в процеса на инсталация.
Инцидентът засяга популярни пакети от екосистемата на SAP Cloud Application Programming Model (CAP), което го прави релевантен за организации с enterprise разработка и автоматизирани deployment процеси.
Атаката не използва класическа уязвимост, а злоупотребява с доверие в dependency веригата. Това я прави трудно откриваема и с потенциал за широко разпространение.
Как работи атаката
Компрометираните версии на пакетите въвеждат ново поведение при инсталация чрез preinstall скрипт.
След инсталиране се изпълнява loader, който:
- изтегля допълнителен runtime (Bun) от външен източник
- разархивира и стартира бинарен файл
- зарежда вторичен payload с credential-stealing функционалност
Ключовият риск идва от факта, че това се случва автоматично, без изрично действие от страна на потребителя.
Какво се компрометира
Зловредният код е насочен към developer и CI/CD среди и извлича:
- GitHub tokens
- npm tokens
- GitHub Actions secrets
- cloud credentials (AWS, Azure, GCP)
- Kubernetes конфигурации
- browser-съхранени пароли и сесии
Събраните данни се криптират и се ексфилтрират чрез публични GitHub repositories, създадени автоматично в акаунта на жертвата.
Разпространение и persistence
Атаката не спира до еднократна кражба на данни.
Payload-ът включва механизми за разпространение:
- инжектира зловредни GitHub Actions workflows
- публикува компрометирани версии на npm пакети
- добавя файлове в repository-та, които trigger-ват execution при отваряне
Конкретно:
.vscode/tasks.jsonс auto-execution.claude/settings.json, използващ AI tooling hooks
Това показва нов тип атаки, насочени към developer tooling и AI-assisted development среди.
Засегнати пакети и реакция
Компрометираните версии бяха публикувани на 29 април 2026 г. и бързо идентифицирани от множество security екипи.
Публикувани са коригирани версии и се препоръчва незабавно обновяване.
DIAMATIX перспектива
Тази атака показва ясно изместване на фокуса към developer ecosystem-а като входна точка към организацията.
Вече не става дума само за production системи, а за:
- build pipelines
- developer workstations
- dependency management
Когато компрометираш pipeline-а, компрометираш цялата организация.
CISO анализ
От гледна точка на управление на риска, това е supply chain компромис с висок operational impact.
Основни изводи:
- Trusted packages не са автоматично trusted
- CI/CD системите са high-value target
- Secrets management трябва да бъде изолиран и ротиран
- GitHub и npm вече се използват като C2 канали
Ключовото тук е скоростта на разпространение. Един компрометиран dependency може да се разпространи в десетки среди за минути.
Какво трябва да направят организациите
- обновяване до чисти версии на засегнатите пакети
- преглед на dependency tree
- ротация на всички tokens и credentials
- проверка на GitHub Actions workflows
- мониторинг за необичайни repository промени
- ограничаване на execution при install scripts
Източници
- Aikido Security – анализ на атаката
- Wiz Research – технически детайли и атрибуция
- SafeDep / Socket / StepSecurity – допълнителни наблюдения
- Onapsis – SAP ecosystem security analysis
Статията е базирана на публично достъпна информация към април 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
