Unter dem Namen „mini Shai Hulud“ wurden mehrere offizielle npm-Pakete mit Schadcode infiziert. Ziel: sensible Zugangsdaten von Entwicklern und aus automatisierten Cloud-Umgebungen stehlen. Experten warnen vor einer neuen Eskalationsstufe bei Angriffen auf Unternehmenssoftware.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen
Gezielte Manipulation von Kernkomponenten
Sicherheitsexperten identifizierten in den vergangenen Stunden eine koordinierte Malware-Kampagne. Vier zentrale npm-Pakete wurden manipuliert, die für das SAP Cloud Application Programming Model (CAP) und Cloud-MTA-Entwicklungen essenziell sind. Die betroffenen Pakete sind inzwischen als bösartig eingestuft und von der Plattform npm entfernt.
Der Angriff konzentrierte sich auf spezifische Bibliotheken, die Tausende Entwickler weltweit nutzen. Laut Berichten von Sicherheitsfirmen wie Socket, Aikido Security und Wiz waren die Pakete @cap-js/sqlite, @cap-js/postgres und @cap-js/db-service sowie das Tool mbt betroffen. Diese Komponenten bilden das Rückgrat für moderne SAP-Anwendungen auf der SAP Business Technology Platform (BTP).
Die Methode der Injektion war besonders heimtückisch: Die Angreifer nutzten „preinstall“-Skripte in der Konfigurationsdatei package.json. Sobald ein Entwickler oder ein automatisiertes System eines der Pakete installierte oder aktualisierte, wurde der Schadcode ohne weiteres Zutun ausgeführt.
Raffinierte Verschleierungstechnik
Um herkömmliche Sicherheits-Scanner zu umgehen, setzten die Hintermänner auf eine ungewöhnliche Technik. Statt die schädlichen Befehle direkt über die Node.js-Umgebung auszuführen, lud ein Dropper-Skript namens setup.mjs zunächst die „Bun“-JavaScript-Runtime von GitHub herunter.
Diese alternative Laufzeitumgebung wird von vielen statischen Analysewerkzeugen noch nicht umfassend überwacht. So gelang es den Angreifern, eine hochgradig verschleierte, etwa 11 Megabyte große Payload namens execution.js unbemerkt auszuführen. Analysten betonen: Dieser architektonische Kniff minimierte gezielt die Erkennungsrate durch gängige Endpoint-Detection-and-Response-Systeme (EDR).
Umfassender Diebstahl von Cloud-Zugangsdaten
Die installierte Malware agiert als spezialisierter Information-Stealer. Ihr Hauptziel: das Sammeln von Authentifizierungstoken und kryptografischen Schlüsseln für den Zugriff auf sensible Infrastrukturen. Zu den entwendeten Daten gehören GitHub- und npm-Token, SSH-Schlüssel sowie Zugangsdaten für AWS, Azure und Google Cloud Platform (GCP).
Besonders besorgniserregend: Die Malware kann direkt in CI/CD-Pipelines (Continuous Integration/Continuous Deployment) eingreifen. Sie liest Geheimnisse aus dem Arbeitsspeicher der Runner-Prozesse aus. Dabei extrahiert sie gezielt Informationen, die normalerweise durch Log-Maskierung der CI-Plattformen geschützt sind. Durch das Scannen des Speichers nach spezifischen Mustern für Key-Value-Paare entwendeten die Angreifer selbst jene Passwörter und Token, die in Build-Protokollen niemals im Klartext erscheinen.
Die gestohlenen Daten wurden verschlüsselt und über öffentlich zugängliche GitHub-Repositorys abtransportiert. Dieses Muster erschwert die Entdeckung, da Netzwerkverkehr zu legitimen Diensten wie GitHub in Entwicklerumgebungen meist nicht blockiert wird.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in Unternehmen einsetzen und wie Sie sich in 4 Schritten effektiv schützen. Anti-Phishing-Paket jetzt gratis anfordern
Verbindung zur Hackergruppe TeamPCP
Branchenanalysten bringen die Kampagne mit mittlerer Konfidenz mit der Gruppe „TeamPCP“ in Verbindung. Die Struktur des Speicher-Scanners und die Verschleierungstaktiken weisen deutliche Ähnlichkeiten zu früheren Supply-Chain-Angriffen auf, die sich gegen Plattformen wie Checkmarx und Bitwarden richteten.
Ein kritisches Merkmal von „mini Shai Hulud“ ist die eingebaute Logik zur Selbstreplikation. Die Malware sucht auf dem infizierten System gezielt nach npm-Authentifizierungstoken. Verfügt der betroffene Entwickler über Schreibrechte für weitere Softwarepakete, versucht der Schadcode automatisch, auch diese zu manipulieren und neue bösartige Versionen zu veröffentlichen. Dieser Mechanismus zielt auf exponentielles Wachstum des Angriffs ab.
Wie die Angreifer Zugriff auf die offiziellen Publikationsrechte der SAP-Pakete erhielten, bleibt ungeklärt. Erste Untersuchungen deuten darauf hin, dass ein npm-Token durch einen fehlkonfigurierten Job in einer CircleCI-Umgebung offengelegt wurde. Eine einzige kleine Schwachstelle in der eigenen Infrastruktur wurde so zur massiven Bedrohung für das gesamte Ökosystem.
Wachsende Bedrohungslage für SAP-Systeme
Der Vorfall reiht sich in eine Serie von Warnungen zur Sicherheit von SAP-Landschaften ein. Studien von Unternehmen wie Onapsis hatten erst kürzlich darauf hingewiesen: Die Angriffsfläche für geschäftskritische Anwendungen wächst stetig. Ungepatchte Systeme und Schwachstellen in der Software-Lieferkette werden zunehmend zum primären Einfallstor für Wirtschaftsspionage und Ransomware.
Sicherheitsberichte der letzten Monate zeigen: Angreifer benötigen oft weniger als 72 Stunden, um für neu veröffentlichte Sicherheitslücken funktionierende Exploits zu entwickeln. Der Fokus auf Entwickler-Tools markiert jedoch eine Verschiebung. Statt das fertige Produkt anzugreifen, infiltrieren Hacker die Werkzeuge, mit denen die Software erstellt wird. In einer Zeit massiver Cloud-Transformation von ERP-Systemen stellt der Diebstahl von Cloud-Zugangsdaten über infizierte Entwicklerpakete ein existenzielles Risiko dar.
Handlungsempfehlungen für Unternehmen
Die betroffenen Paketversionen — @cap-js/sqlite v2.2.2, @cap-js/postgres v2.2.2, @cap-js/db-service v2.10.1 und mbt v1.2.48 — wurden offiziell als veraltet markiert. Unternehmen, die diese Bibliotheken nutzen, sollten umgehend ihre Abhängigkeiten überprüfen.
Experten raten dringend dazu, sämtliche Zugangsdaten und Token zu rotieren, die auf Systemen mit den bösartigen Paketen vorhanden waren. Besonders betroffen: Cloud-Secrets, GitHub-Zertifikate und API-Schlüssel. IT-Sicherheitsteams sollten ihre CI/CD-Pipelines auf ungewöhnliche ausgehende Verbindungen oder unbekannte Prozesse im Arbeitsspeicher untersuchen.
Langfristig unterstreicht der Vorfall die Notwendigkeit strengerer Kontrollen bei Drittanbieter-Bibliotheken. Mechanismen zur Überprüfung der Paket-Integrität und das Blockieren von Skriptausführungen während der Installation (ignore-scripts) gelten als wichtige Präventivmaßnahmen. Die SAP-Community steht vor der Herausforderung, das Vertrauen in die eigenen Cloud-Entwicklungsmodelle durch verstärkte Sicherheitsaudits wiederherzustellen.
