SAP的NPM套件遭Mini Shai-Hulud攻擊
攻擊事件概述
多間資安公司於近期發出警告,指出SAP維護的NPM套件遭到了名為「Mini Shai-Hulud」的供應鏈攻擊。攻擊者透過未授權修改的儲存庫,發布了惡意版本的SAP相關NPM套件。
攻擊手法與目標
惡意套件利用Bun作為前置安裝載具(preinstall payload),在開發環境與CI/CD管線中執行,竊取GitHub、npm、雲端服務及持續整合工具的機密資訊。
攻擊者背景
資安公司推測,此攻擊活動可能由先前發動大規模供應鏈攻擊的駭客團體TeamPCP所主導。
相關資安公司聲明
- Aikido Security:指出惡意套件使用Bun基底的預設載入載荷,以竊取GitHub、npm、雲端與CI/CD環境的機密。
- SafeDep:確認四個SAP相關NPM套件包含兩階段的憑證竊取載荷,目標為GitHub令牌與AWS金鑰。
- Upwind Security:報告於2026年4月29日,惡意版本的四個SAP相關NPM套件被發布,並透過未授權修改的儲存庫進行。
- StepSecurity:檢測到新的NPM供應鏈攻擊活動,使用前置安裝函數下載Bun JavaScript執行環境並執行惡意載荷。