Beli Kripto Pasar Spot Futures OILGOLD Tabungan Pusat Acara

Lainnya

Empat paket npm yang terkait dengan Cloud Application Programming Model milik SAP telah dibajak. Para peretas menambahkan kode yang mencuri dompet kripto dan data sensitif lainnya.Empat paket npm yang terkait dengan Cloud Application Programming Model milik SAP telah dibajak. Para peretas menambahkan kode yang mencuri dompet kripto dan data sensitif lainnya.

Paket npm SAP berbahaya menargetkan data dompet kripto

Sumber: Cryptopolitan

2026/05/06 03:55

durasi baca 3 menit

CLOUD$0.023+0.61%

Untuk memberikan masukan atau menyampaikan kekhawatiran terkait konten ini, silakan hubungi kami di [email protected]

Empat paket npm yang terhubung dengan Cloud Application Programming Model SAP telah dicuri. Para peretas menambahkan kode yang mencuri dompet kripto, kredensial cloud, dan kunci SSH dari para pengembang.

Menurut laporan dari Socket, versi paket yang terdampak meliputi:

Paket-paket ini secara keseluruhan mendapatkan sekitar 572.000 unduhan per minggu dari komunitas pengembang SAP.

Paket npm mencuri kredensial cloud dan dompet kripto

Para peneliti keamanan menjelaskan bahwa paket yang diretas tersebut menginstal terlebih dahulu sebuah skrip yang mengunduh dan menjalankan biner runtime Bun dari GitHub. Kemudian menjalankan payload JavaScript yang diobfuskasi sebesar 11,7MB.

File sumber SAP asli masih ada, namun terdapat tiga file baru tambahan:

package.json yang telah dimodifikasi.
setup.mjs.
execution.js.

File-file ini memiliki cap waktu beberapa jam setelah kode asli. Ini menunjukkan bahwa tarball telah diubah setelah diunduh dari sumber asli.

Socket menyebutnya sebagai "sinyal kuat dari kampanye injeksi terkoordinasi dan otomatis" bahwa skrip loader identik secara byte di keempat paket, meskipun berada di dua namespace yang berbeda.

Saat payload berjalan, ia memeriksa apakah sistem diatur ke bahasa Rusia dan berhenti jika demikian. Kemudian bercabang tergantung pada apakah ia menemukan lingkungan CI/CD, dengan memeriksa 25 variabel platform, seperti GitHub Actions, CircleCI, dan Jenkins, atau workstation pengembang.

Di komputer pengembang, malware membaca lebih dari 80 jenis file kredensial yang berbeda. Ini mencakup kunci privat SSH, kredensial AWS dan Azure, konfigurasi Kubernetes, token npm dan Docker, file environment, dan dompet kripto di sebelas platform berbeda. Ia juga membidik file konfigurasi untuk alat AI seperti pengaturan Claude dan Kiro MCP.

Payload memiliki dua lapisan enkripsi. Sebuah fungsi bernama `__decodeScrambled()` menggunakan PBKDF2 dengan 200.000 iterasi SHA-256 dan salt bernama "ctf-scramble-v2" untuk mendapatkan kunci yang diperlukan guna mendekripsi sesuatu.

Crypto wallets targeted in SAP-linked npm supply-chain attack.

Payload SAP menggunakan GitHub sebagai saluran utama. Sumber: Socket.

Nama fungsi, algoritma, salt, dan jumlah iterasi sama dengan yang ada di payload Checkmarx dan Bitwarden sebelumnya. Ini menunjukkan bahwa alat yang sama sedang digunakan dalam beberapa kampanye.

Socket memantau aktivitas ini dengan nama "TeamPCP" dan telah membuat halaman pelacakan terpisah untuk apa yang disebutnya sebagai kampanye "mini-shai-hulud".

Peretas terus-menerus menarget pengembang kripto

Kompromi paket SAP adalah yang terbaru dalam serangkaian serangan rantai pasokan yang menggunakan manajer paket untuk mencuri kredensial aset digital.

Seperti yang dilaporkan Cryptopolitan pada saat itu, para peneliti menemukan lima paket npm yang typosquatted pada Maret 2026 yang mencuri kunci privat dari pengembang Solana dan Ethereum dan mengirimkannya ke bot Telegram.

ReversingLabs menemukan sebuah kampanye bernama PromptMink sebulan kemudian. Dalam kampanye ini, sebuah paket berbahaya bernama @validate-sdk/v2 ditambahkan ke proyek trading kripto open-source melalui commit yang dihasilkan AI.

Liputan Cryptopolitan tentang temuan ReversingLabs menyatakan bahwa serangan tersebut, yang dikaitkan dengan kelompok yang disponsori negara Korea Utara Famous Chollima, secara khusus membidik kredensial dompet kripto dan rahasia sistem.

Serangan SAP berbeda dalam skala dan arah. Alih-alih membuat paket palsu dengan nama yang mirip dengan yang asli, para penyerang masuk ke paket asli yang banyak digunakan yang disimpan di bawah namespace SAP.

Para peneliti keamanan merekomendasikan agar tim yang menggunakan pipeline deployment berbasis SAP CAP atau MTA segera memeriksa lockfile mereka untuk versi yang terdampak.

Pengembang yang menginstal paket-paket ini selama jendela paparan harus mengganti kredensial dan token apa pun yang mungkin tersedia di lingkungan build mereka dan memeriksa log CI/CD untuk setiap permintaan jaringan atau eksekusi biner yang tidak terduga.

Menurut para peneliti, setidaknya satu versi yang terdampak, @cap-js/[email protected], tampaknya sudah dihapus publikasinya dari npm.

Bank Anda menggunakan uang Anda. Anda hanya mendapat sisa-sisanya. Tonton video gratis kami tentang cara menjadi bank Anda sendiri

Peluang Pasar

Harga Cloud(CLOUD)

$0.023

$0.023$0.023

+4.26%

USD

Grafik Harga Live Cloud (CLOUD)

Pool Hadiah 200.000 USDT

Berdagang emas, perak, & minyak Semua orang menang.

Penafian: Artikel yang diterbitkan ulang di situs web ini bersumber dari platform publik dan disediakan hanya sebagai informasi. Artikel tersebut belum tentu mencerminkan pandangan MEXC. Seluruh hak cipta tetap dimiliki oleh penulis aslinya. Jika Anda meyakini bahwa ada konten yang melanggar hak pihak ketiga, silakan hubungi [email protected] agar konten tersebut dihapus. MEXC tidak menjamin keakuratan, kelengkapan, atau keaktualan konten dan tidak bertanggung jawab atas tindakan apa pun yang dilakukan berdasarkan informasi yang diberikan. Konten tersebut bukan merupakan saran keuangan, hukum, atau profesional lainnya, juga tidak boleh dianggap sebagai rekomendasi atau dukungan oleh MEXC.