Tấn công chuỗi cung ứng nhắm vào các gói NPM của SAP: Cảnh báo mã độc Mini Shai-Hulud

Các nhà nghiên cứu bảo mật vừa đưa ra cảnh báo về một cuộc tấn công chuỗi cung ứng mới, được đặt tên là "Mini Shai-Hulud", nhắm trực tiếp vào các gói NPM của SAP. Chiến dịch này tập trung vào các gói phần mềm liên quan đến hệ sinh thái SAP Cloud Application Programming (CAP) và quy trình triển khai đám mây của SAP.

Vào ngày 29 tháng 4, bốn phiên bản gói phần mềm đã bị gắn cờ là độc hại, bao gồm: npm mbt 1.2.48, npm @cap-js/db-service 2.10.1, npm @cap-js/postgres 2.2.2, và npm @cap-js/sqlite 2.2.2. Đây là các công cụ xây dựng Multi-Target Application (MTA) và các gói dịch vụ cơ sở dữ liệu cho phần mềm CAP, với tổng số lượt tải xuống hàng tuần lên tới hơn 500.000.

SAP

Theo báo cáo của Socket, các gói này đã bị chèn một tập lệnh preinstall hoạt động như một bộ khởi động runtime (runtime bootstrapper). Khi được thực thi, tập lệnh này sẽ tải xuống một tệp ZIP chứa Bun từ một kho lưu trữ GitHub, giải nén và chạy tệp nhị phân Bun có trong đó. Quá trình này được thiết kế để vượt qua các công cụ giám sát bảo mật thông thường.

Theo Onapsis, các phiên bản gói độc hại này đã tồn tại trên mạng trong khoảng 2-4 giờ. Hiện tại, chúng đã được gỡ bỏ và các phiên bản sạch đã được phát hành để thay thế.

Mã độc đánh cắp dữ liệu và cơ chế lây lan

Mã độc được phân phối thông qua các gói bị xâm nhập là một loại phần mềm đánh cắp thông tin (information stealer), nhắm đến thông tin xác thực cục bộ, mã thông báo (tokens) của GitHub và NPM, cũng như các bí mật đám mây của AWS, Azure, GCP, GitHub Action và Kubernetes.

Security

Malware này gửi dữ liệu đánh cắp ra ngoài thông qua các kho lưu trữ GitHub công khai có mô tả được mã hóa cứng là "A Mini Shai-Hulud has Appeared". Ngoài ra, nó còn chứa cơ chế tự lan truyền.

Theo Aikido, mối đe dọa này sẽ kiểm tra các quy trình phát hành GitHub Actions, sau đó sửa đổi các gói tarball để thêm payload, thay đổi phiên bản của chúng, đóng gói lại và sử dụng các mã thông báo GitHub Actions bị đánh cắp để xuất bản chúng.

Hệ sinh thái NPM của SAP có khả năng bị tấn công thông qua một mã thông báo NPM bị xâm phạm, vốn đã bị lộ thông qua các bản dựng pull request trên CircleCI.

Tác động và khuyến nghị

Onapsis nhấn mạnh rằng cuộc tấn công chuỗi cung ứng Mini Shai-Hulud này tạo ra một mối đe dọa lớn đối với các nhà phát triển và tổ chức sử dụng SAP CAP - khung nền tảng cho các tiện ích mở rộng S/4HANA, backend ứng dụng Fiori, MTA và các luồng tích hợp.

"Bất kỳ khách hàng nào của SAP sử dụng phát triển JavaScript có thể đang kéo các gói @sap/* và @cap-js/* vào các đường ống xây dựng (build pipelines) của mình, thường xuyên với các phạm vi phiên bản lỏng lẻo và nhiều phụ thuộc chuyển tiếp," Onapsis lưu ý.

Tất cả các tổ chức sử dụng quy trình làm việc của SAP Business Technology Platform, SAP CAP hoặc đường ống triển khai dựa trên MTA nên kiểm tra xem họ đã cài đặt các phiên bản gói độc hại trong thời gian bị lộ hay chưa.

Dựa trên các điểm tương đồng về kỹ thuật và mô hình hoạt động, công ty an ninh mạng Wiz quy kết sự việc này cho nhóm hacker nổi tiếng TeamPCP, nhóm này đã nhận trách nhiệm cho một số cuộc tấn công chuỗi cung ứng trong vài tháng qua.

"Đánh giá này là do việc sử dụng chung một khóa công khai RSA để mã hóa các bí mật bị đánh cắp. Điều này có nghĩa là cùng một khóa riêng sẽ giải mã các payload, giới hạn khả năng tiếp cận dữ liệu bị đánh cắp chỉ dành cho TeamPCP," Wiz lưu ý.