{"id":16532,"date":"2026-05-01T08:31:06","date_gmt":"2026-05-01T08:31:06","guid":{"rendered":"https:\/\/byte-bucket.com\/2026\/05\/01\/teampcp-greift-das-sap-entwickleroekosystem-an-alarmstufe-rot-fuer-die-sicherheit-von-open-source\/"},"modified":"2026-05-01T08:31:06","modified_gmt":"2026-05-01T08:31:06","slug":"teampcp-greift-das-sap-entwickleroekosystem-an-alarmstufe-rot-fuer-die-sicherheit-von-open-source","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=16532","title":{"rendered":"TeamPCP greift das SAP-Entwickler\u00f6kosystem an: Alarmstufe Rot f\u00fcr die Sicherheit von Open Source."},"content":{"rendered":"<p>Ein gezielter Angriff auf das SAP-Entwickler\u00f6kosystem durch TeamPCP hat die Brisanz von Open-Source-Lieferkettenangriffen eindrucksvoll demonstriert. Der Angriffsablauf, den Forscher von Wiz offenbarten, \u00e4hnelt der \u201eMini Shai-Hulud\u201c-Kampagne und fokussiert sich gezielt auf SAPs Cloud Application Programming Model (CAP) sowie das Cloud MTA Build Tool (MBT). Mehrere npm-Pakete, darunter @cap-js\/sqlite, @cap-js\/postgres, @cap-js\/db-service und mbt, wurden ins Visier genommen. Diese Pakete sind essenziell f\u00fcr die Arbeit mit CAP und MBT und spielen eine Schl\u00fcsselrolle in den CI\/CD-Pipelines von Unternehmen, die SAP nutzen. TeamPCP injizierte b\u00f6sartige Preinstall-Skripte in diese weitverbreiteten Pakete. Diese Skripte automatisierten sich bei der Installation und erm\u00f6glichten so einen schnellen und heimlichen Zugriff auf sensible Informationen. <\/p>\n<p>Die Angreifer nutzten ein komplexes, mehrstufiges Payload, um Entwicklergeheimnisse sowie CI\/CD-Geheimnisse auszuspionieren. Dieses System erstreckte sich \u00fcber GitHub, npm und gro\u00dfe Cloud-Anbieter, wobei die gesammelten Daten schlie\u00dflich in von den Angreifern kontrollierten GitHub-Repositories exfiltriert wurden. Ein weiteres Element des Angriffskonzepts war Code, der auf die Ausbreitung \u00fcber kompromittierte Tokens ausgelegt ist, um die Reichweite des Schadens weiter zu erh\u00f6hen. Die Verbindung zu fr\u00fcheren \u201eShai-Hulud\u201c-Angriffen wurde zwar vermutet, aber nicht eindeutig best\u00e4tigt. <\/p>\n<p>Die Forscher von Wiz mutma\u00dften als m\u00f6glichen Einstiegspunkt eine falsch konfigurierte CircleCI-Pipeline, die npm-Tokens exponierte, betonen jedoch, dass dies nicht die einzige Ursache war. \u00c4hnliche Taktiken sind bereits bei Angriffen auf PyPI und npm aufgetaucht, was auf einen gr\u00f6\u00dferen Kontext und einen ambitionierten Plan hindeutet. <\/p>\n<p>Die schnelle Reaktion durch das Entfernen der kompromittierten Pakete sowie die Aufforderung an Organisationen zur \u00dcberpr\u00fcfung ihrer Abh\u00e4ngigkeiten und zum Rotieren von Anmeldeinformationen zeigt die Dringlichkeit, mit der solche Bedrohungen angegangen werden m\u00fcssen. Dieser Vorfall unterstreicht eindrucksvoll die Notwendigkeit einer verst\u00e4rkten Aufmerksamkeit auf die Sicherheit in Open-Source-Lieferketten und die wichtige Rolle, die sichere Praktiken und kontinuierliche \u00dcberwachung in diesem Bereich spielen.<\/p>\n<p>Schlagw\u00f6rter: TeamPCP + Wiz + CAP<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein gezielter Angriff auf das SAP-Entwickler\u00f6kosystem durch TeamPCP hat die Brisanz von Open-Source-Lieferkettenangriffen eindrucksvoll demonstriert. Der Angriffsablauf, den Forscher von Wiz offenbarten, \u00e4hnelt der \u201eMini Shai-Hulud\u201c-Kampagne und fokussiert sich gezielt auf SAPs Cloud Application Programming Model (CAP) sowie das Cloud MTA Build Tool (MBT). Mehrere npm-Pakete, darunter @cap-js\/sqlite, @cap-js\/postgres, @cap-js\/db-service&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":16531,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16532","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16532","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16532"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16532\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/16531"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16532"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16532"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16532"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}