Attacco supply chain npm SAP: malware colpisce pacchetti CAP
Nuova campagna Mini Shai-Hulud compromette pacchetti npm SAP. Furto credenziali, persistenza su agenti AI: ecco cosa sapere e come proteggersi.
Contenuto
Quanto puo essere pericoloso eseguire un semplice npm install? Il 29 aprile 2026, ricercatori di sicurezza hanno scoperto una sofisticata campagna di attacco supply chain che ha compromesso pacchetti npm legati all'ecosistema SAP. L'attacco, denominato Mini Shai-Hulud, ha introdotto un malware progettato per rubare credenziali e stabilire persistenza attraverso una strategia innovativa: lo sfruttamento del runtime Bun per aggirare i controlli tradizionali e il targeting delle configurazioni degli agenti di coding AI.
Il modus operandi: runtime Bun e script preinstall
Le versioni compromesse, pubblicate su npm tra le 09:55 UTC e le 12:14 UTC del 29 aprile 2026, riguardano pacchetti ampiamente utilizzati nell'ecosistema SAP: @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt. Secondo i ricercatori di Socket, le versioni interessate hanno introdotto un nuovo comportamento all'installazione che non faceva parte della funzionalita prevista dei pacchetti.
Il vettore di attacco sfrutta uno script preinstall che scarica automaticamente il runtime Bun per eseguire un payload denominato execution.js. La scelta di Bun rappresenta un'evoluzione significativa nelle tecniche di elusione: i tool di sicurezza tradizionalmente configurati per monitorare l'ambiente Node.js potrebbero non rilevare attivita sospette generate da un runtime alternativo. Il payload, di dimensioni pari a circa 11 MB, risulta particolarmente complesso e modularizzato.
Furto credenziali e persistenza su larga scala
Il malware e progettato per esfiltrare una vasta gamma di credenziali sensibili: token GitHub, credenziali npm, segreti cloud (AWS, Azure, GCP, Kubernetes) e dati memorizzati nei browser. Una volta raccolti, i dati vengono cifrati utilizzando algoritmi AES-256-GCM e RSA-4096 prima dell'esfiltrazione verso repository GitHub pubblici creati automaticamente sull'account della vittima. Ogni repository creato contiene la descrizione "A Mini Shai-Hulud has Appeared" come firma dell'attacco.
Al momento del report, sono stati identificati piu di 1.100 repository contenenti la descrizione malevola, indicando un raggio dell'attacco particolarmente ampio e un numero significativo di sviluppatori compromessi. La scala dell'operazione suggerisce una campagna automatizzata e ben orchestrata.
Targeting degli agenti AI: una novita nel panorama delle minacce
Un elemento distintivo di questa campagna e rappresentato dal targeting delle configurazioni degli agenti di coding AI. Come evidenziato da StepSecurity, questo risulta essere uno dei primi attacchi supply chain documentati a prendere di mira specificamente le configurazioni di strumenti come Claude Code e VS Code come vettore di persistenza e propagazione. L'integrazione sempre piu profonda degli strumenti AI nei flussi di sviluppo crea nuovi punti di attacco che gli autori di malware stanno iniziando a esplorare.
La compromissione delle configurazioni degli agenti AI permette non solo il furto immediato di credenziali, ma anche la possibilita di mantenere un accesso persistente agli ambienti di sviluppo. Ogni nuova interazione con l'agente AI compromesso puo potenzialmente propagare il malware a nuovi progetti e repository, amplificando l'impatto dell'attacco in modo significativo.
Kill switch geografico e attribuzione
Il malware include un meccanismo di kill switch che termina immediatamente l'esecuzione se rileva che il sistema e configurato con localizzazione russa (ru). Questo tipo di filtro geografico e comune nelle operazioni condotte da gruppi che desiderano evitare di colpire determinate regioni, sia per motivi politici che operativi.
L'attribuzione dell'attacco e stata assegnata con alta probabilita al gruppo TeamPCP. La valutazione si basa su significative somiglianze con operazioni precedenti come Trivy e Checkmarx KICS, oltre all'uso della stessa chiave pubblica RSA riscontrata in campagne passate. La firma tecnica e i pattern comportamentali suggeriscono un attore motivato con capacita di sviluppo avanzate.
Discrepanze temporali e analisi forense
L'analisi dei metadata ha rivelato una discrepanza temporale interessante: mentre le versioni compromesse sono state pubblicate su npm tra le 09:55 e le 12:14 UTC del 29 aprile 2026, i file iniettati all'interno dei tarball presentano timestamp compresi tra le 15:25 e le 17:43 UTC dello stesso giorno. Questa incongruenza suggerisce la possibilita di un orologio di sistema alterato o procedure di compilazione asincrone utilizzate dagli attaccanti per offuscare le tracce dell'operazione.
La differenza temporale di alcune ore tra la pubblicazione su npm e i timestamp interni potrebbe indicare anche un processo di preparazione dell'attacco avviato prima della pubblicazione effettiva, con aggiustamenti successivi al payload prima dell'iniezione finale nei pacchetti.
Implicazioni per gli sviluppatori e le organizzazioni
La compromissione di pacchetti appartenenti all'ecosistema SAP, un ambiente enterprise criticamente importante, amplifica il potenziale impatto dell'attacco. Le organizzazioni che utilizzano questi pacchetti per sviluppare applicazioni business-critical potrebbero aver esposto segreti cloud, credenziali di produzione e dati sensibili. La persistenza attraverso gli agenti AI aggiunge un livello di complessita al processo di rimozione: non e sufficiente eliminare i pacchetti compromessi, ma necessario verificare e ripulire anche le configurazioni degli strumenti di sviluppo.
Il targeting specifico di token GitHub e credenziali cloud suggerisce un obiettivo strategico: ottenere accesso persistente a infrastrutture cloud e repository di codice. Questo tipo di accesso puo essere sfruttato per attacchi successivi, furto di proprieta intellettuale o come trampolino per compromettere sistemi di produzione.
Domande frequenti
- Quali pacchetti npm sono stati compromessi nell'attacco Mini Shai-Hulud?
- Le versioni compromesse riguardano @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt, pubblicate su npm il 29 aprile 2026 tra le 09:55 UTC e le 12:14 UTC.
- Come funziona il meccanismo di persistenza tramite agenti AI?
- Il malware targeting le configurazioni di agenti di coding AI come Claude Code e VS Code, sfruttando la loro integrazione nei flussi di sviluppo per mantenere accesso persistente e propagarsi a nuovi progetti.
- Quali dati vengono rubati dal malware?
- Il payload esfiltra token GitHub, credenziali npm, segreti cloud (AWS, Azure, GCP, Kubernetes) e dati dei browser, cifrandoli con AES-256-GCM e RSA-4096 prima dell'invio a repository GitHub pubblici.
- Chi e attribuito l'attacco supply chain Mini Shai-Hulud?
- L'attribuzione e stata assegnata con alta probabilita al gruppo TeamPCP, per le somiglianze con operazioni precedenti come Trivy e Checkmarx KICS e l'uso della stessa chiave pubblica RSA.
Questo articolo e una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://www.tomshw.it/hardware/attacco-alla-supply-chain-colpisce-npm-registry-2025-09-17
- https://www.ictsecuritymagazine.com/articoli/supply-chain-software/
- https://www.acn.gov.it/portale/en/w/supply-chain-attack-rilevata-compromissione-di-pacchetti-npm
- https://www.kaspersky.it/blog/supply-chain-attacks-in-2025/30576/
- https://www.securityinfo.it/2025/09/16/un-attacco-supply-chain-ha-compromesso-oltre-40-pacchetti-npm/