Se ha emitido una alerta de máxima prioridad para equipos de desarrollo y DevSecOps tras confirmarse un nuevo y sofisticado ataque a la cadena de suministro de software denominado “mini Shai Hulud”. Este ataque ha logrado comprometer múltiples paquetes de npm directamente relacionados con el Modelo de Programación de Aplicaciones en la Nube (CAP) de SAP. La campaña está diseñada para infiltrarse en entornos de desarrolladores locales y pipelines de Integración y Despliegue Continuos (CI/CD) para la recolección masiva de credenciales y secretos.
Anatomía del Ataque
De acuerdo con el análisis de la amenaza, el vector de infección se basa en el abuso de las funciones de automatización de los gestores de paquetes:
- Paquetes Objetivo: Los atacantes lograron publicar versiones maliciosas (armadas) de dependencias legítimas y ampliamente utilizadas en el ecosistema de desarrollo de SAP. Los paquetes confirmados como comprometidos son:
- @cap-js/sqlite
- @cap-js/postgres
- @cap-js/db-service
- mbt
- Ejecución Silenciosa (Preinstall Hook): El componente malicioso no requiere interacción compleja. Los atacantes inyectaron un script malicioso dentro de la directiva preinstall del archivo package.json de las versiones afectadas.
- Infección Automática: Cuando un desarrollador o un servidor de CI/CD ejecuta el comando estándar npm install para resolver las dependencias de un proyecto, el script armado se ejecuta silenciosamente en segundo plano antes de que finalice la instalación del paquete.
- Recolección de Credenciales (Harvesting): Una vez en ejecución, el malware escanea agresivamente las variables de entorno y los archivos de configuración locales para robar tokens de autenticación de GitHub, credenciales de publicación de npm y llaves de acceso a los principales proveedores de la nube (AWS, Azure, GCP).
Impacto
- Compromiso de Infraestructura y Código: Al robar secretos directamente de los pipelines de CI/CD, los atacantes obtienen las llaves maestras de la infraestructura de la organización. Esto les permite modificar código en repositorios, alterar despliegues de producción y pivotar hacia la nube corporativa.
- Propagación de la Cadena de Suministro: Si se capturan credenciales de publicación de npm válidas de los desarrolladores afectados, los atacantes pueden utilizar esos accesos para contaminar aún más paquetes de software dentro o fuera de la organización, creando un efecto cascada.
Recomendaciones y Mitigación
- Auditoría de Dependencias (Urgente): Revisar inmediatamente los archivos package.json y los árboles de dependencias (package-lock.json) en todos los proyectos de SAP CAP para identificar si alguna de las versiones maliciosas de los cuatro paquetes mencionados fue descargada.
- Rotación Masiva de Secretos: Si se confirma o se sospecha que las versiones maliciosas fueron instaladas en cualquier entorno (local o CI/CD), se debe declarar un incidente de seguridad y *rotar inmediatamente todos los secretos* presentes en esa máquina o pipeline (PATs de GitHub, tokens de npm, llaves de nube, claves SSH).
- Endurecimiento del Gestor de Paquetes: Como medida de higiene de seguridad proactiva, configurar los entornos de CI/CD y las estaciones de los desarrolladores para ignorar la ejecución automática de scripts durante la instalación de dependencias, utilizando el comando: npm install –ignore-scripts. Aquellos scripts que sean estrictamente necesarios para la compilación deberán ejecutarse de forma manual y controlada.
