การแจ้งเตือนความปลอดภัย:แพคเกจ SAP NPM อย่างเป็นทางการถูกบุกรุก – ตรวจพบการโจรกรรมข้อมูลประจำตัว

แพ็คเกจ SAP npm อย่างเป็นทางการหลายรายการถูกบุกรุกในสิ่งที่เชื่อว่าเป็นการโจมตีห่วงโซ่อุปทานของ TeamPCP เพื่อขโมยข้อมูลรับรองและโทเค็นการตรวจสอบสิทธิ์จากระบบของนักพัฒนา

นักวิจัยด้านความปลอดภัยรายงานว่าการประนีประนอมส่งผลกระทบต่อแพ็คเกจสี่ชุด โดยเวอร์ชันดังกล่าวเลิกใช้แล้วบน NPM:

• @cap-js/sqlite – v2.2.2
• @cap-js/postgres – v2.2.2
• @cap-js/db-service – v2.10.1
• เอ็มบีที – v1.2.48

แพ็คเกจเหล่านี้รองรับ Cloud Application Programming Model (CAP) ของ SAP และ Cloud MTA ซึ่งมักใช้ในการพัฒนาองค์กร 

ตามรายงานใหม่ของ Aikido และ Socket แพ็คเกจที่ถูกบุกรุกได้รับการแก้ไขให้มีสคริปต์ 'ติดตั้งล่วงหน้า' ที่เป็นอันตรายซึ่งทำงานโดยอัตโนมัติเมื่อมีการติดตั้งแพ็คเกจ npm 

สคริปต์นี้เปิดตัวโหลดเดอร์ชื่อ setup.mjs ซึ่งจะดาวน์โหลดรันไทม์ Bun JavaScript จาก GitHub และใช้เพื่อดำเนินการเพย์โหลด Execution.js ที่สร้างความสับสนอย่างมาก 

เพย์โหลดเป็นตัวขโมยข้อมูลที่ใช้ในการขโมยข้อมูลประจำตัวที่หลากหลายจากทั้งเครื่องของนักพัฒนาและสภาพแวดล้อม CI/CD รวมถึง:

• โทเค็นการตรวจสอบสิทธิ์ npm และ GitHub
• คีย์ SSH และข้อมูลประจำตัวของนักพัฒนา
• ข้อมูลรับรองระบบคลาวด์สำหรับ AWS, Azure และ Google Cloud
• การกำหนดค่า Kubernetes และความลับ
• ความลับไปป์ไลน์ CI/CD และตัวแปรสภาพแวดล้อม

มัลแวร์ยังพยายามดึงความลับโดยตรงจากหน่วยความจำของ CI runner คล้ายกับวิธีที่ TeamPCP ดึงข้อมูลประจำตัวในการโจมตีห่วงโซ่อุปทานครั้งก่อน

"สำหรับ CI runners เพย์โหลดจะรันสคริปต์ Python ที่ฝังไว้ซึ่งอ่าน /proc//maps และ /proc//mem สำหรับกระบวนการ Runner.Worker เพื่อแยก "key" :{ "value":"...", "isSecret":true} โดยตรงจากหน่วยความจำของ runner โดยข้ามการมาสก์บันทึกทั้งหมดที่แพลตฟอร์ม CI อธิบาย"

"เครื่องสแกนหน่วยความจำสำหรับความลับนี้มีโครงสร้างเหมือนกันกับที่บันทึกไว้ในเหตุการณ์ Bitwarden และ Checkmarx"

เมื่อรวบรวมข้อมูลแล้ว ข้อมูลจะถูกเข้ารหัสและอัปโหลดไปยังพื้นที่เก็บข้อมูล GitHub สาธารณะภายใต้บัญชีของเหยื่อ ที่เก็บข้อมูลเหล่านี้มีคำอธิบาย "A Mini Shai-Hulud has Appeared" ซึ่งคล้ายกับสตริง "Shai-Hulud:The Third Coming" ที่เห็นในการโจมตีห่วงโซ่อุปทานของ Bitwarden

มัลแวร์ยังอาศัย GitHub กระทำการค้นหาซึ่งเป็นกลไกที่หยุดนิ่งเพื่อดึงโทเค็นและเข้าถึงเพิ่มเติม

“มัลแวร์ค้นหา GitHub คอมมิตสำหรับสตริงนี้ และใช้ข้อความคอมมิตที่ตรงกันเป็นโทเค็นที่ลดลง” Aikido อธิบาย

"ส่งข้อความที่ตรงกับ OhNoWhatsGoingOnWithGitHub: จะถูกถอดรหัสเป็นโทเค็น GitHub และตรวจสอบการเข้าถึงพื้นที่เก็บข้อมูล"

เช่นเดียวกับการโจมตีครั้งก่อน เพย์โหลดที่ใช้งานยังมีโค้ดเพื่อเผยแพร่ด้วยตนเองไปยังแพ็คเกจอื่นๆ

การใช้ข้อมูลประจำตัว npm หรือ GitHub ที่ถูกขโมย จะพยายามแก้ไขแพ็คเกจและที่เก็บข้อมูลอื่นๆ ที่สามารถเข้าถึงได้ และแทรกโค้ดที่เป็นอันตรายเดียวกันเพื่อแพร่กระจายต่อไป 

นักวิจัยได้เชื่อมโยงการโจมตีนี้กับความมั่นใจระดับปานกลางกับผู้คุกคาม TeamPCP ซึ่งใช้โค้ดและกลยุทธ์ที่คล้ายกันในการโจมตีห่วงโซ่อุปทานก่อนหน้านี้กับ Trivy, Checkmarx และ Bitwarden

แม้ว่าจะไม่ชัดเจนว่าผู้คุกคามบุกรุกกระบวนการเผยแพร่ NPM ของ SAP ได้อย่างไร แต่วิศวกรด้านความปลอดภัย Adnan Khan รายงานว่าโทเค็น NPM อาจถูกเปิดเผยผ่านงาน CircleCI ที่กำหนดค่าไม่ถูกต้อง

BleepingComputer ติดต่อ SAP เพื่อเรียนรู้ว่าแพ็คเกจ npm ถูกบุกรุกอย่างไร แต่ไม่ได้รับการตอบกลับ ณ เวลาที่เผยแพร่

99% ของสิ่งที่ Mythos พบนั้นยังไม่มีการแก้ไข

AI เชื่อมโยงศูนย์วันสี่วันไว้ในช่องโหว่เดียวที่ข้ามทั้งตัวเรนเดอร์และแซนด์บ็อกซ์ระบบปฏิบัติการ คลื่นแห่งการหาประโยชน์ใหม่ๆ กำลังมา

ที่การประชุมสุดยอดการตรวจสอบความถูกต้องโดยอิสระ (12 และ 14 พฤษภาคม) มาดูกันว่าการตรวจสอบความถูกต้องแบบอัตโนมัติและเต็มไปด้วยบริบทค้นหาสิ่งที่สามารถหาประโยชน์ได้ พิสูจน์ว่าการควบคุมยังคงอยู่ และปิดวงจรการแก้ไขได้อย่างไร

อ้างสิทธิ์ตำแหน่งของคุณ