×

Alerta de Segurança SAP: Ataque na Cadeia de Suprimentos npm ‘Mini Shai-Hulud’

Destaque

Tecnologia , , , , ,

Alerta de Segurança SAP: Ataque na Cadeia de Suprimentos npm ‘Mini Shai-Hulud’

temp_image_1777572089.022314 Alerta de Segurança SAP: Ataque na Cadeia de Suprimentos npm 'Mini Shai-Hulud'

Cuidado, Desenvolvedores SAP: O Ataque ‘Mini Shai-Hulud’ e a Vulnerabilidade no npm

No mundo do desenvolvimento de software, a confiança em pacotes de terceiros é fundamental, mas pode se tornar o elo mais fraco da corrente. Recentemente, um novo e sofisticado comprometimento na cadeia de suprimentos do npm começou a alvejar especificamente o ecossistema de desenvolvedores SAP.

Batizado internamente como “Mini Shai-Hulud”, este malware não é apenas um script simples, mas um framework de propagação e roubo de credenciais projetado para infiltrar-se em ambientes de desenvolvimento e pipelines de CI/CD.

Como o ataque funciona?

O ataque utiliza a execução de ciclos de vida do npm. Quando um desenvolvedor instala pacotes afetados, um preinstall hook é acionado automaticamente. O processo segue este fluxo técnico:

  • O Gatilho: O arquivo package.json é modificado para executar um script de instalação antes mesmo do pacote ser totalmente instalado.
  • O Loader: Um arquivo chamado setup.mjs baixa o runtime JavaScript Bun para executar um payload obfuscado.
  • O Payload: Um arquivo de 11.7 MB (execution.js) é ativado, funcionando como um ladrão de credenciais altamente eficiente.

O que o malware tenta roubar?

O objetivo principal do Mini Shai-Hulud é a exfiltração de segredos corporativos e chaves de acesso. Ele busca ativamente por:

  • Tokens de Acesso: Tokens do GitHub e do npm.
  • Segredos de Nuvem: Chaves de API e credenciais da AWS, Azure, GCP e Kubernetes.
  • GitHub Actions: O malware possui um helper em Python que vasculha a memória do processo Runner.Worker para extrair segredos mascarados.

A Origem: O Elo Fraco no CircleCI

As investigações apontam que a porta de entrada foi a exposição de um token npm através de builds de Pull Requests no CircleCI. Um PR temporário teria exposto variáveis críticas, como CLOUD_MTA_BOT_NPM_TOKEN, permitindo que os atacantes injetassem código malicioso em pacotes legítimos do ecossistema SAP, como o @cap-js/sqlite e @cap-js/postgres.

Como saber se você foi afetado e o que fazer?

Se você utiliza ferramentas de build do SAP Cloud MTA ou pacotes do ecossistema CAP, é crucial agir agora. Recomendamos as seguintes medidas de mitigação:

  1. Auditoria de Lockfiles: Procure por versões suspeitas de pacotes @cap-js e mbt em seus arquivos package-lock.json ou yarn.lock.
  2. Rotação Imediata de Segredos: Não mude apenas o token do npm. Rotacione todas as chaves de nuvem (AWS, Azure, GCP), tokens do GitHub e segredos de CI/CD.
  3. Análise de Logs: Verifique logs do CircleCI ou GitHub Actions em busca de requisições anômalas para a API do GitHub (especialmente POSTs para criação de repositórios).

Protegendo seu Fluxo de Trabalho

Para evitar que incidentes como este ocorram, é essencial adotar práticas de segurança de software (AppSec), como a implementação de análise estática de código e o uso de ferramentas que verifiquem a integridade de pacotes antes da instalação.

A segurança na cadeia de suprimentos é um desafio contínuo. Manter-se atualizado e utilizar ferramentas de visibilidade em tempo real é a única maneira de neutralizar ameaças que evoluem tão rapidamente quanto o Mini Shai-Hulud.

Compartilhar:

Tag

Veja também