FEHLER!

TeamPCP greift das SAP-Entwicklerökosystem an: Alarmstufe Rot für die Sicherheit von Open Source.

Ein gezielter Angriff auf das SAP-Entwicklerökosystem durch TeamPCP hat die Brisanz von Open-Source-Lieferkettenangriffen eindrucksvoll demonstriert. Der Angriffsablauf, den Forscher von Wiz offenbarten, ähnelt der „Mini Shai-Hulud“-Kampagne und fokussiert sich gezielt auf SAPs Cloud Application Programming Model (CAP) sowie das Cloud MTA Build Tool (MBT). Mehrere npm-Pakete, darunter @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service und mbt, wurden ins Visier genommen. Diese Pakete sind essenziell für die Arbeit mit CAP und MBT und spielen eine Schlüsselrolle in den CI/CD-Pipelines von Unternehmen, die SAP nutzen. TeamPCP injizierte bösartige Preinstall-Skripte in diese weitverbreiteten Pakete. Diese Skripte automatisierten sich bei der Installation und ermöglichten so einen schnellen und heimlichen Zugriff auf sensible Informationen.

Die Angreifer nutzten ein komplexes, mehrstufiges Payload, um Entwicklergeheimnisse sowie CI/CD-Geheimnisse auszuspionieren. Dieses System erstreckte sich über GitHub, npm und große Cloud-Anbieter, wobei die gesammelten Daten schließlich in von den Angreifern kontrollierten GitHub-Repositories exfiltriert wurden. Ein weiteres Element des Angriffskonzepts war Code, der auf die Ausbreitung über kompromittierte Tokens ausgelegt ist, um die Reichweite des Schadens weiter zu erhöhen. Die Verbindung zu früheren „Shai-Hulud“-Angriffen wurde zwar vermutet, aber nicht eindeutig bestätigt.

Die Forscher von Wiz mutmaßten als möglichen Einstiegspunkt eine falsch konfigurierte CircleCI-Pipeline, die npm-Tokens exponierte, betonen jedoch, dass dies nicht die einzige Ursache war. Ähnliche Taktiken sind bereits bei Angriffen auf PyPI und npm aufgetaucht, was auf einen größeren Kontext und einen ambitionierten Plan hindeutet.

Die schnelle Reaktion durch das Entfernen der kompromittierten Pakete sowie die Aufforderung an Organisationen zur Überprüfung ihrer Abhängigkeiten und zum Rotieren von Anmeldeinformationen zeigt die Dringlichkeit, mit der solche Bedrohungen angegangen werden müssen. Dieser Vorfall unterstreicht eindrucksvoll die Notwendigkeit einer verstärkten Aufmerksamkeit auf die Sicherheit in Open-Source-Lieferketten und die wichtige Rolle, die sichere Praktiken und kontinuierliche Überwachung in diesem Bereich spielen.

Schlagwörter: TeamPCP + Wiz + CAP

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 1. Mai 2026