Uma nova campanha de ataque à cadeia de suprimentos comprometeu quatro pacotes npm ligados ao ecossistema SAP CAP com o objetivo de roubar credenciais de estações de trabalho e pipelines de CI/CD.
A operação, apelidada de mini Shai Hulud, inseriu scripts maliciosos de pré-instalação em versões adulteradas de pacotes legítimos como @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt.
O diferencial da campanha está na forma como o código malicioso é disparado. Em vez de depender apenas de execução tradicional com Node.js, o dropper baixa o runtime Bun durante a instalação e o usa para rodar uma segunda carga útil ofuscada.
Segundo os pesquisadores, isso ajuda a escapar de ferramentas de segurança focadas no ecossistema Node.
Depois de ativado, o malware tenta coletar tokens do GitHub e npm, variáveis de ambiente ligadas a AWS, Azure e GCP, credenciais de Kubernetes e até segredos de GitHub Actions extraídos de runners em execução.
Os dados roubados são criptografados e enviados para repositórios públicos controlados pelos atacantes.
Pesquisadores atribuem a operação ao grupo TeamPCP com alto grau de confiança, apontando semelhanças com campanhas anteriores contra Trivy, LiteLLM e Checkmarx KICS.
Entre os indícios citados estão o mesmo método de codificação de dados roubados, a lógica de encerramento em ambientes configurados em russo e o uso do mesmo dropper em todos os pacotes afetados.
Para organizações que usam ferramentas SAP CAP, a orientação é bloquear imediatamente as versões comprometidas, revisar dependências em pipelines, rotacionar segredos expostos nesses ambientes e monitorar downloads inesperados do runtime Bun durante instalações via npm.
