Supply-Chain-Angriff: Mehrere Softwareprojekte von SAP kompromittiert
Der berüchtigten Hackergruppe TeamPCP ist es offenbar erneut gelungen, Schadcode in mehrere prominente NPM-Pakete einzuschleusen. Dieses Mal hat es Projekte des deutschen Softwarekonzerns SAP erwischt, wie aus einem Bericht der Sicherheitsforscher von Socket(öffnet im neuen Fenster) hervorgeht. Die Angreifer haben es wieder einmal darauf abgesehen, massenhaft Anmeldeinformationen einzusammeln.
Betroffen sind den Angaben zufolge die NPM-Pakete mbt(öffnet im neuen Fenster) (Version 1.2.48), @cap-js/db-service(öffnet im neuen Fenster) (Version 2.10.1), @cap-js/postgres(öffnet im neuen Fenster) (Version 2.2.2) und @cap-js/sqlite(öffnet im neuen Fenster) (Version 2.2.2). Diese sind den Angaben zufolge Teil des SAP-Ökosystems für die Entwicklung von Javascript- und Cloudanwendungen und erreichen zusammen mehr als 500.000 Downloads pro Woche.
Zugangsdaten im Visier
Mit den kompromittierten Versionen wurde am 29. April jeweils ein Preinstall-Skript eingeschleust, welches in Form einer fast 12 MByte großen execution.js-Datei weiteren Schadcode nachlädt. Dabei handelt es sich um eine Infostealer-Malware, deren Ziel ist es, auf Entwicklersystemen und in CI/CD-Pipelines vor allem nach Anmeldeinformationen zu suchen und diese auszuleiten.
Was für Daten genau exfiltriert werden, ist einem Blogbeitrag von Aikido(öffnet im neuen Fenster) zu entnehmen. Demnach haben es die Angreifer unter anderem auf Github-Tokens, NPM-Tokens, Umgebungsvariablen, Konfigurationsdateien und Geheimnisse für Clouddienste wie AWS, Azure und die Google Cloud Platform (GCP) abgesehen. TeamPCP nutzt solche Informationen im Anschluss oft für Angriffe auf weitere Softwareprojekte. Darüber hinaus droht ein Ransomware-Befall, bei dem viele Dateien aufgrund eines Bugs unwiederbringlich vernichtet werden.
Ein kleiner Shai-Hulud
Es scheint bei dem Angriff auf die NPM-Pakete von SAP auch Verbindungen zu den im vergangenen Jahr beobachteten Shai-Hulud-Angriffen zu geben. Die Malware leitet die eingesammelten Daten wohl direkt über die Github-Konten der Opfer aus und erstellt dafür Repositories mit der Beschreibung "A Mini Shai-Hulud has appeared". Die Forscher sprechen daher bei der aktuellen Kampagne auch von einem Mini Shai-Hulud(öffnet im neuen Fenster).
Die Socket-Forscher gehen davon aus, dass TeamPCP hinter dem Angriff steckt, da bei einer Analyse der Vorgehensweise der Angreifer einige Übereinstimmungen mit früheren Aktivitäten dieser Gruppe gefunden wurden. Auch eine Untersuchung der Cybersicherheitsfirma Wiz(öffnet im neuen Fenster) bestätigt diese Annahme.
Entwicklern, die eines der betroffenen NPM-Pakete im Einsatz haben, wird dringend empfohlen, ihre Systeme auf eine mögliche Kompromittierung zu überprüfen und gegebenenfalls alle darauf befindlichen Anmeldedaten zu rotieren. Auch sollte geprüft werden, ob über eigene Konten und Systeme zugängliche Code-Repos möglicherweise manipuliert wurden. Nützliche Hinweise zur Erkennung entsprechender Aktivitäten sind in den Blogbeiträgen von Socket(öffnet im neuen Fenster) und Aikido(öffnet im neuen Fenster) zu finden.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.