Detectan paquetes npm oficiales de SAP comprometidos con código para robar credenciales
Diversos paquetes oficiales de SAP publicados en npm fueron comprometidos en lo que los expertos consideran un probable ataque de cadena de suministro vinculado a TeamPCP, con el objetivo de robar credenciales, tokens de autenticación y secretos almacenados en sistemas de desarrollo.
Los componentes afectados han formado parte del soporte SAP Clou Application Programming Model, conocido como CAP y Cloud MTA, dos herramientas ampliamente utilizadas en entornos corporativos para el desarrollo y despliegue de aplicaciones empresariales.
De acuerdo con diversos informes publicados por firmas de ciberseguridad, los ciberdelincuentes han alterado los paquetes comprometidos para incluir un script malicioso de tipo preinstall, diseñado para ejecutarse de forma automática en el momento en el que el paquete era instalado.
Ese detalle vuelve el ataque especialmente peligroso, debido a que no exige una acción adicional por parte del desarrollador; basta con instalar la dependencia maliciosa para que la cadena de ejecución se active. El script inicia un cargador llamado setup.mjs, que descarga desde GitHub el runtime de JavaScript Bun y lo usa para ejecutar un archivo altamente ofuscado identificado como execution.js.
Detrás de esa capa de ocultamiento se encuentra un malware de robo de información, preparado para extraer una amplia variedad de credenciales tanto de equipos de desarrolladores como de entornos de integración y entrega continua.
Entre los datos buscados se encuentran tokens de autenticación de npm y GitHub, claves SSH, credenciales de desarrolladores, secretos de servicios en la nube como AWS, Azure y Google Cloud, configuraciones de Kubernetes, variables de entorno y secretos asociados a pipelines de CI/CD.
La ciberseguridad es un pilar fundamental en los procesos empresariales modernos, por lo que no debe fallar en ningún momento. Por ello, TIC Defense ofrece un conjunto de herramientas y productos de última tecnología que se encarga de proteger los activos digitales de tu organización.
El alcance del robo ha revelado una intención clara y es que no se trataba solo de comprometer máquinas de forma individual, sino de abrir puertas hacia repositorios, procesos de despliegue, infraestructuras en la nube y nuevos paquetes que pudiesen ser manipulados para ampliar la infección.
Uno de los aspectos más preocupantes del ataque es que el malware intenta extraer secretos directamente desde la memoria del runner de CI, una técnica que recuerda a operaciones previas atribuidas al grupo TeamPCP. Según explicaciones de los especialistas, en los runners de integración continua el payload ejecuta un script de Python incrustado que lee archivos de mapas de navegación y contenido correspondientes al proceso Runner.Worker.
Los expertos han señalado que este escáner de secretos es idéntico estructuralmente al documentado en los incidentes contra Bitwarden y Checkmarx, lo que ha reforzado la sospecha de una relación técnica entre estos ciberataques. Una vez recopilada la información, el código malicioso la cifra y la sube a repositorios públicos de GitHub bajo la cuenta de las propias víctimas.
Como ha ocurrido en ciberataques anteriores, el payload incluye funciones de autopropagación. Por medio de credenciales robadas de npm o GitHub, intenta modificar otros paquetes y repositorios a los que logra acceder, inyectando el mismo código malicioso para extender la campaña.
