SAP: Mini Shai-Hulud
A Wiz ismerteti a Mini Shai-Hulud kampányt, ami egy célzott, npm ökoszisztémát érintő ellátási lánc kompromittáció, amely elsősorban SAP-hoz kapcsolódó JavaScript csomagokat vett célba. A támadók legitim, már létező csomagokhoz szereztek hozzáférést, majd azok új verzióiba kártékony kódot injektáltak, így a fertőzés a megszokott frissítési és telepítési folyamatokon keresztül terjedt.
A kompromittáció az npm lifecycle mechanizmusának visszaélése, a módosított csomagok preinstall szkriptje már a telepítés korai szakaszában lefut, így a támadó kódja még azelőtt végrehajtódik, hogy a fejlesztő vagy a CI/CD rendszer ténylegesen használná a csomagot. Ez a kód további komponenseket tölt le és futtat, jellemzően obfuszkált formában, minimalizálva a statikus detekció esélyét.
A payload elsődleges célja hitelesítési adatok megszerzése. A malware fejlesztői környezetekből és automatizált build pipeline-okból gyűjt tokeneket és titkokat, beleértve npm és GitHub hozzáféréseket, valamint felhőszolgáltatásokhoz és CI rendszerekhez tartozó credentialeket. Az adatkinyerés után a támadók ezeket az azonosítókat további hozzáférések megszerzésére használják, például repositoryk módosítására vagy újabb csomagverziók publikálására.
A kampány egyik lényegi sajátossága a korlátozott, de célzott terjedés. Nem tömeges, automatizált fertőzésről van szó, hanem magas értékű csomagok kompromittálásáról, ahol a downstream hatás jelentős lehet. A megszerzett tokenekkel a támadók képesek további ellátási lánc elemekbe bejutni, például CI workflow-k módosításával vagy új verziók publikálásával, így a fertőzés láncszerűen továbbvihető.
