Ataque de cadeia de suprimentos compromete pacotes oficiais da SAP no npm
A segurança de infraestruturas corporativas enfrenta um novo risco crítico com a descoberta de pacotes oficiais da SAP comprometidos no repositório npm. O ataque foi orquestrado pelo grupo TeamPCP e atingiu bibliotecas essenciais como @cap-js/sqlite e @cap-js/postgres. A operação demonstra a fragilidade de ecossistemas de dependências onde a confiança no fornecedor é explorada para infiltrar códigos maliciosos em ambientes de produção.
Mecanismo de Infiltração e Roubo de Dados
O malware utiliza um script de pré-instalação para executar comandos maliciosos no momento em que o desenvolvedor ou o sistema de automação baixa o pacote. O objetivo principal é a exfiltração de segredos sensíveis armazenados na memória de runners de CI/CD. O código foi projetado para varrer o ambiente em busca de ativos de alta criticidade que permitam a movimentação lateral na rede da vítima.
Os alvos principais do ataque incluem
- ▶Tokens de autenticação do GitHub
- ▶Chaves privadas SSH
- ▶Credenciais de nuvem da AWS
- ▶Chaves de acesso do Azure e GCP
Padrão de Operação e Sofisticação Técnica
A análise técnica revela que o TeamPCP utiliza táticas semelhantes às aplicadas em ataques recentes contra a Bitwarden e a Checkmarx. Essa repetição de padrão indica a existência de um playbook consolidado para ataques de cadeia de suprimentos. A sofisticação reside na capacidade de mimetizar pacotes legítimos para evitar a detecção por ferramentas de análise estática simples.
A exploração de pacotes oficiais da SAP amplia drasticamente a superfície de ataque pois atinge empresas de grande porte que utilizam o framework CAP para desenvolver aplicações de negócios. A contaminação de dependências fundamentais transforma a ferramenta de build em um vetor de ataque silencioso e altamente eficiente.
Este incidente reforça a necessidade urgente de implementação de políticas de pinning de versões e a utilização de arquivos de lock rigorosos. O impacto real para a indústria é a erosão da confiança em repositórios públicos de pacotes. Empresas que não adotam a verificação de integridade de hashes e o monitoramento de dependências em tempo real permanecem vulneráveis a exfiltrações massivas de credenciais de nuvem.