Хакерская кампания Mini Shai-Hulud атаковала популярные инструменты разработки SAP и Intercom

Новая волна атак на цепочку поставок затронула востребованные библиотеки в репозиториях npm и PyPI. Вредоносный код был обнаружен в официальных пакетах SAP, инструментах платформы Intercom и популярном фреймворке для глубокого обучения Lightning.

Механизм атаки и масштаб угрозы

Исследователи по кибербезопасности связывают эти инциденты с деятельностью группировки TeamPCP. Злоумышленники используют вредоносное ПО, получившее название Mini Shai-Hulud. Это червь, способный к самораспространению и краже конфиденциальных данных. Вредоносный код внедряется через скрипты предварительной установки (preinstall scripts), которые автоматически исполняются в системе разработчика сразу после загрузки пакета, еще до запуска основного приложения.

По данным экспертов, атака носит многоэтапный характер. Вирус не только собирает учетные данные, но и обладает логикой для заражения других репозиториев, к которым у жертвы есть доступ.

Скомпрометированные пакеты SAP

Под удар попали инструменты, используемые для создания облачных приложений в экосистеме SAP. Суммарно эти пакеты скачиваются более 572 тысяч раз в неделю. В список зараженных версий вошли:

• mbt версии 1.2.48;
• @cap-js/db-service версии 2.10.1;
• @cap-js/postgres версии 2.2.2;
• @cap-js/sqlite версии 2.2.2.

Компания SAP выпустила официальное уведомление по безопасности для своих клиентов и партнеров, которое доступно в закрытом разделе поддержки.

Заражение библиотек Intercom и Lightning

В ходе мониторинга специалисты компаний Wiz и Socket выявили аналогичный вредоносный код в пакете intercom-client (версии 7.0.4 и 7.0.5). Это официальный инструмент для интеграции с API коммуникационной платформы Intercom, который еженедельно загружают около 360 тысяч раз.

Кроме того, атаке подверглась библиотека Lightning (версии 2.6.2 и 2.6.3) в репозитории PyPI. Lightning является одним из ключевых фреймворков для обучения моделей искусственного интеллекта. Учитывая популярность инструмента, число потенциальных жертв среди разработчиков ИИ-решений может быть значительным.

Методы кражи данных

В обзорах безопасности отмечается, что Mini Shai-Hulud нацелен на извлечение широкого спектра секретов из среды разработки и конвейеров CI/CD (систем автоматизированной сборки и тестирования кода). Вредонос собирает:

• токены GitHub и учетные данные npm;
• ключи доступа к облачным провайдерам (AWS, Azure, GCP);
• токены Kubernetes;
• секреты из оперативной памяти систем автоматизации GitHub Actions.

Особенностью данной кампании является метод вывода украденной информации. Вирус шифрует собранные данные и создает новый публичный репозиторий в GitHub-аккаунте самой жертвы, куда загружает зашифрованные архивы. Это позволяет злоумышленникам обходить системы мониторинга трафика, так как активность выглядит как легитимная работа пользователя со своим аккаунтом.