Die Onapsis Research Labs beobachten derzeit eine gezielte Supply-Chain-Attacke auf SAP-Entwickler und Unternehmen, die das SAP-Cloud-Application-Programming-Model (CAP) nutzen. Die als „Mini Shai-Hulud“ bezeichnete Angriffskampagne schleust Schadcode in verbreitete SAP-nahe JavaScript-/npm-Pakete ein – mit dem Ziel, automatisiert Cloud-Zugangsdaten, Service-Tokens und private Schlüssel zu exfiltrieren.
Die Angriffskampagne nutzt kompromittierte Pakete als Eintrittspunkt in Entwicklungsumgebungen und entfaltet ihre Wirkung bereits während der Installation. Dabei wird die Umgebung gezielt nach sensiblen Informationen durchsucht, darunter Tokens und Zugangsdaten für Cloud-Dienste wie AWS, Azure oder GCP sowie Plattformen wie Github oder Kubernetes. Diese Informationen werden im Anschluss an öffentlich zugängliche Plattformen exfiltriert. Besonders kritisch ist, dass dieser Prozess auch dann angestoßen werden kann, wenn die Installation abgebrochen wird oder fehlschlägt. Gleichzeitig zeigt die Malware ein „wurmartiges“ Verhalten: Über kompromittierte Zugangsdaten versucht sie, sich in weitere Repositories zu verbreiten, auf die betroffene Entwickler Zugriff haben, und so die Lieferkette weiter zu kompromittieren.
Nach aktuellem Stand wurden mehrere offizielle SAP-bezogene Pakete als kompromittiert identifiziert, die jedoch nur für einen begrenzten Zeitraum verfügbar waren.
Info: Onapsis analysiert die „Mini Shai-Hulud“-Kampagne aktuell weiter und stellt technische Details sowie eine Einordnung für SAP-Anwender bereit. Weitere Informationen, inklusive betroffener Pakete und Hintergründe: https://onapsis.com/blog/sap-cap-mini-shai-hulud-supply-chain-attack/
#Onapsis
