恶意SAP npm包针对加密钱包数据

四个与SAP云应用编程模型相关的npm包遭到入侵。黑客在其中植入了窃取加密货币钱包、云凭证及SSH密钥的恶意代码，受害者为开发者。

根据Socket的报告，受影响的软件包版本包括：

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

这些软件包每周在SAP开发者社区的下载量合计约为572,000次。

npm软件包窃取云凭证与加密货币钱包

安全研究人员解释称，被入侵的软件包预装了一个脚本，该脚本会从GitHub下载并运行Bun运行时二进制文件，随后执行一个经过混淆处理的11.7MB JavaScript有效载荷。

原有的SAP源文件仍然存在，但新增了三个额外文件：

• 经修改的package.json。
• setup.mjs。
• execution.js。

这些文件的时间戳比真实代码晚了数小时，表明这些压缩包在从正规来源下载后曾被篡改。

Socket指出，加载脚本在全部四个软件包中字节完全一致，尽管它们分属两个不同的命名空间，这是"协调一致的自动化注入攻击活动的强烈信号"。

有效载荷运行后，会检查系统语言是否设置为俄语，若是则停止运行。随后它会根据是否检测到CI/CD环境而分支执行，检测方式为核查25个平台变量，例如GitHub Actions、CircleCI和Jenkins，或者判断是否为开发者工作站。

在开发者计算机上，该恶意软件会读取超过80种不同类型的凭证文件，包括SSH私钥、AWS和Azure凭证、Kubernetes配置、npm和Docker令牌、环境文件，以及11个不同平台上的加密货币钱包。此外，它还会窃取AI工具的配置文件，如Claude和Kiro MCP设置。

该有效载荷采用双层加密。一个名为`__decodeScrambled()`的函数使用PBKDF2算法，经过200,000次SHA-256迭代，并使用名为"ctf-scramble-v2"的盐值来获取解密所需的密钥。

该函数名称、算法、盐值及迭代次数与此前Checkmarx和Bitwarden有效载荷中的相同，暗示同一套工具正被用于多个攻击活动。

Socket以"TeamPCP"为名追踪该活动，并为其称之为"mini-shai-hulud"的攻击活动单独建立了追踪页面。

黑客持续将矛头指向加密货币开发者

SAP软件包遭入侵事件是一系列利用包管理器窃取数字资产凭证的供应链攻击中最新的一起。

正如Cryptopolitan当时报道的那样，研究人员于2026年3月发现了五个仿冒npm软件包，这些软件包从Solana和Ethereum开发者处窃取私钥，并将其发送至Telegram机器人。

ReversingLabs在一个月后发现了一个名为PromptMink的攻击活动。在该活动中，一个名为@validate-sdk/v2的恶意软件包通过AI生成的提交被植入一个开源加密货币交易项目。

Cryptopolitan对ReversingLabs调查结果的报道指出，该攻击与朝鲜国家支持的组织Famous Chollima有关，专门针对加密货币钱包凭证和系统机密。

SAP攻击事件在规模和方向上有所不同。攻击者并非创建与真实软件包名称相似的假冒软件包，而是直接入侵了SAP命名空间下真实且被广泛使用的软件包。

安全研究人员建议，使用SAP CAP或基于MTA的部署管道的团队应立即检查其锁定文件，核查是否存在受影响版本。

在受影响期间安装了这些软件包的开发者，应更换在其构建环境中可能已泄露的所有凭证和令牌，并检查CI/CD日志，留意任何异常的网络请求或二进制文件执行情况。

据研究人员称，至少有一个受影响版本@cap-js/sqlite@2.2.2似乎已从npm下架。

您的银行正在使用您的钱，而您只是得到残羹剩饭。观看我们的免费视频，了解如何成为自己的银行。