Pesquisadores de segurança relataram que múltiplos pacotes npm oficiais da SAP foram comprometidos em um ataque à cadeia de suprimentos, atribuído ao grupo TeamPCP. Os pacotes afetados incluem @cap-js/sqlite, @cap-js/postgres, @cap-js/db-service e mbt, que são utilizados no desenvolvimento de aplicações na nuvem. A modificação maliciosa incluiu um script ‘preinstall’ que, ao ser executado, baixava um runtime JavaScript e executava um payload ofuscado para roubar credenciais e tokens de autenticação de sistemas de desenvolvedores. O malware visava informações sensíveis, como tokens do npm e GitHub, chaves SSH, credenciais de nuvem e segredos de pipelines CI/CD. Além disso, o malware tentava extrair segredos diretamente da memória dos runners de CI, burlando medidas de segurança. Os dados coletados eram criptografados e enviados para repositórios públicos do GitHub, com descrições que remetiam a ataques anteriores. A origem da violação ainda é desconhecida, mas há indícios de que um token npm pode ter sido exposto devido a uma configuração inadequada em um job do CircleCI. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.
Fonte: https://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
30/04/2026 • Risco: ALTO
ATAQUE
Pacotes npm da SAP comprometidos em ataque à cadeia de suprimentos
RESUMO EXECUTIVO
O ataque aos pacotes npm da SAP representa uma séria ameaça à segurança de desenvolvedores e empresas que dependem desses pacotes. A extração de credenciais e segredos pode levar a compromissos maiores, exigindo que as organizações reavaliem suas práticas de segurança e monitoramento.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e tokens de autenticação, comprometendo a segurança de ambientes de desenvolvimento.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Quatro pacotes npm comprometidos.
Indicador
Diversas credenciais e segredos extraídos, incluindo tokens do npm e GitHub.
Contexto BR
Uso de um script Python para extrair segredos da memória do CI runner.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se pacotes npm afetados estão em uso e revisar configurações de CI/CD.
2
Remover pacotes comprometidos e aplicar patches assim que disponíveis.
3
Monitorar atividades suspeitas em repositórios GitHub e ambientes de desenvolvimento.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das cadeias de suprimentos de software, especialmente em ambientes de desenvolvimento que utilizam pacotes npm.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente no que diz respeito ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
