Paquetes npm maliciosos de SAP atacan los datos de las billeteras de criptomonedas

Se robaron cuatro paquetes npm conectados al modelo de programación de aplicaciones en la nube de SAP. Los piratas informáticos añadieron código para robar monederos de criptomonedas,denten la nube y claves SSH a los desarrolladores.

Según un informe de Socket, las versiones de paquetes afectadas incluyen:

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

En conjunto, estos paquetes reciben alrededor de 572.000 descargas semanales por parte de la comunidad de desarrolladores de SAP.

Los paquetes npm robandenten la nube y monederos de criptomonedas

Investigadores de seguridad explicaron que los paquetes pirateados preinstalan un script que descarga y ejecuta un binario de tiempo de ejecución Bun desde GitHub. A continuación, ejecuta una carga útil de JavaScript ofuscada de 11,7 MB.

Los archivos fuente originales de SAP siguen ahí, pero hay tres archivos nuevos adicionales:

• un archivo package.json modificado.
• configuración.mjs.
• ejecución.js.

Estos archivos tenían marcas de tiempo posteriores a las del código original. Esto demuestra que los archivos comprimidos se modificaron después de haber sido descargados de una fuente legítima.

Socket calificó como "trondentdentdentdentdentdentdentdentlos cuatro paquetes, a pesar de que están en dos espacios de nombres diferentes.

Cuando se ejecuta la carga útil, comprueba si el sistema está configurado en ruso y se detiene si lo está. A continuación, se ramifica según si encuentra un entorno de CI/CD, comprobando 25 variables de plataforma, como GitHub Actions, CircleCI y Jenkins, o una estación de trabajo de desarrollador.

En los ordenadores de los desarrolladores, el malware lee más de 80 tipos diferentes de archivosdent. Estos incluyen claves privadas SSH,dentde AWS y Azure, configuraciones de Kubernetes, tokens de npm y Docker, archivos de entorno y monederos de criptomonedas en once plataformas diferentes. También ataca los archivos de configuración de herramientas de IA como Claude y la configuración de Kiro MCP.

La carga útil tiene dos capas de cifrado. Una función llamada `__decodeScrambled()` utiliza PBKDF2 con 200.000 iteraciones SHA-256 y una clave aleatoria llamada “ctf-scramble-v2” para obtener las claves necesarias para descifrar algo.

El nombre de la función, el algoritmo, el valor aleatorio (salt) y el número de iteraciones son los mismos que en las cargas útiles anteriores de Checkmarx y Bitwarden. Esto sugiere que se están utilizando las mismas herramientas en varias campañas.

Socket está vigilando la actividad bajo el nombre "TeamPCP" y ha creado una página de tracindependiente para lo que denomina la campaña "mini-shai-hulud".

Los hackers atacan persistentemente a los desarrolladores de criptomonedas

La vulneración del paquete SAP es el caso más reciente de una serie de ataques a la cadena de suministro que utilizan gestores de paquetes para robardentde activos digitales.

Tal como Cryptopolitan informó en su momento, en marzo de 2026, investigadores descubrieron cinco paquetes npm con errores tipográficos que robaban claves privadas de Solana y Ethereum y las enviaban a un bot de Telegram.

Un mes después, ReversingLabs descubrió una campaña llamada PromptMink. En esta campaña, se añadió un paquete malicioso llamado @validate-sdk/v2 a un proyecto de comercio de criptomonedas de código abierto mediante una confirmación generada por IA.

Cryptopolitande la cobertura sobre los hallazgos de ReversingLabs, el ataque, vinculado al grupo Famous Chollima, patrocinado por el estado norcoreano, tuvo como objetivo específico las credenciales de las billeteras de criptomonedasdentlos secretos del sistema.

El ataque a SAP se diferencia en magnitud y dirección. En lugar de crear paquetes falsos con nombres similares a los reales, los atacantes accedieron a paquetes reales y ampliamente utilizados que se mantenían bajo el espacio de nombres de SAP.

Los investigadores de seguridad recomiendan que los equipos que utilizan canalizaciones de implementación basadas en SAP CAP o MTA revisen sus archivos de bloqueo de inmediato para detectar las versiones afectadas.

Los desarrolladores que instalaron estos paquetes durante el período de exposición deben cambiar lasdenty los tokens que pudieran haber estado disponibles en sus entornos de compilación y revisar los registros de CI/CD en busca de solicitudes de red o ejecuciones binarias inesperadas.

Según los investigadores, al menos una versión afectada, @cap-js/sqlite@2.2.2, parece haber sido ya retirada de npm.

Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.