개발자 시스템에서 자격 증명과 인증 토큰을 훔치기 위한 TeamPCP 공급망 공격으로 추정되는 공격으로 여러 공식 SAP npm 패키지가 손상되었습니다.
보안 연구원들은 이 손상이 4개의 패키지에 영향을 미쳤으며 현재 NPM에서 더 이상 사용되지 않는 버전을 보고했습니다.
- @cap-js/sqlite – v2.2.2
- @cap-js/postgres – v2.2.2
- @cap-js/db-service – v2.10.1
- mbt – v1.2.48
이러한 패키지는 기업 개발에 일반적으로 사용되는 SAP의 클라우드 애플리케이션 프로그래밍 모델(CAP) 및 클라우드 MTA를 지원합니다.
Aikido와 Socket의 새로운 보고서에 따르면 손상된 패키지는 npm 패키지 설치 시 자동으로 실행되는 악성 '사전 설치' 스크립트를 포함하도록 수정되었습니다.
이 스크립트는 GitHub에서 Bun JavaScript 런타임을 다운로드하고 이를 사용하여 매우 난독화된 실행.js 페이로드를 실행하는 setup.mjs라는 로더를 시작합니다.
페이로드는 다음을 포함하여 개발자 시스템과 CI/CD 환경 모두에서 다양한 자격 증명을 훔치는 데 사용되는 정보를 훔치는 도구입니다.
- npm 및 GitHub 인증 토큰
- SSH 키 및 개발자 자격 증명
- AWS, Azure, Google Cloud용 클라우드 자격 증명
- Kubernetes 구성 및 비밀
- CI/CD 파이프라인 비밀 및 환경 변수
또한 이 악성코드는 이전 공급망 공격에서 TeamPCP가 자격 증명을 추출한 방식과 유사하게 CI 실행기의 메모리에서 직접 비밀을 추출하려고 시도합니다.
"CI 실행기에서 페이로드는 Runner.Worker 프로세스에 대해 /proc/
"이 비밀 메모리 스캐너는 Bitwarden 및 Checkmarx 사건에 기록된 것과 구조적으로 동일합니다."
데이터가 수집되면 암호화되어 피해자 계정의 공개 GitHub 저장소에 업로드됩니다. 이러한 저장소에는 Bitwarden 공급망 공격에서 볼 수 있는 'Shai-Hulud:The Third Coming' 문자열과 유사한 'A Mini Shai-Hulud has Appeared'라는 설명이 포함되어 있습니다.
"Mini Shai-Hulud가 나타났습니다"라는 설명으로 생성된 Github 저장소 출처:합기도
또한 이 악성코드는 토큰을 검색하고 추가 액세스 권한을 얻기 위해 GitHub 커밋 검색을 데드드롭 메커니즘으로 사용합니다.
"맬웨어는 GitHub 커밋에서 이 문자열을 검색하고 일치하는 커밋 메시지를 토큰 데드 드롭으로 사용합니다."라고 Aikido는 설명합니다.
"OhNoWhatsGoingOnWithGitHub:
이전 공격과 유사하게 배포된 페이로드에는 다른 패키지로 자체 전파되는 코드도 포함되어 있습니다.
훔친 npm 또는 GitHub 자격 증명을 사용하여 액세스 권한이 있는 다른 패키지와 리포지토리를 수정하려고 시도하고 동일한 악성 코드를 주입하여 더 확산시킵니다.
연구원들은 이 공격을 Trivy, Checkmarx 및 Bitwarden을 대상으로 한 이전 공급망 공격에서 유사한 코드와 전술을 사용한 TeamPCP 위협 행위자와 중간 정도의 신뢰도를 가지고 연결했습니다.
위협 행위자가 SAP의 npm 게시 프로세스를 어떻게 손상시켰는지는 확실하지 않지만 보안 엔지니어 Adnan Khan은 NPM 토큰이 잘못 구성된 CircleCI 작업을 통해 노출되었을 수 있다고 보고합니다.
BleepingComputer는 npm 패키지가 어떻게 손상되었는지 알아보기 위해 SAP에 문의했지만 게시 당시 답변을 받지 못했습니다.
발견된 신화의 99%는 아직 패치되지 않았습니다.
AI는 렌더러와 OS 샌드박스를 모두 우회하는 하나의 익스플로잇에 4개의 제로데이를 연결했습니다. 새로운 공격의 물결이 다가오고 있습니다.
Autonomous Validation Summit(5월 12일 및 14일)에서 상황에 맞는 자율적 검증이 어떻게 악용 가능한 항목을 찾고, 통제 수단이 유지되는지 입증하고, 문제 해결 루프를 종료하는지 알아보세요.
자리를 차지하세요