Recientemente se ha encendido una alarma en el ecosistema de desarrollo de SAP tras descubrirse una campaña de malware denominada "mini Shai-Hulud". Este ataque utiliza paquetes comprometidos en el registro npm para robar credenciales críticas y propagarse en entornos de desarrollo.
¿Qué paquetes están comprometidos?
Los atacantes lograron inyectar código malicioso en versiones específicas de herramientas populares para el desarrollo en la nube de SAP:
- mbt@1.2.48 (SAP Cloud MAA Tool)
- @cap-js/db-service@2.10.1
- @cap-js/postgres@2.2.2
- @cap-js/sqlite@2.2.2
Mecánica del ataque
El malware se activa mediante un script de "pre-instalación". Al ejecutar npm install, el sistema descarga automáticamente un binario que comienza a recolectar:
- Tokens de acceso: GitHub, npm y secretos de GitHub Actions.
- Credenciales de Nube: Claves de AWS, Azure, Google Cloud y Kubernetes.
- Persistencia en IA: Una novedad de este ataque es que infecta configuraciones de agentes de IA como Claude Code y tareas de VS Code, asegurando que el malware se ejecute cada vez que abras el proyecto.
¿Cómo protegerte?
Si trabajas con estas tecnologías, te recomendamos:
- Verificar versiones: Asegúrate de no estar utilizando las versiones mencionadas.
- Auditoría de GitHub: Busca repositorios en tu cuenta con la descripción "A Mini Shai-Hulud has Appeared". Si aparecen, tu cuenta ha sido comprometida.
- Rotación de claves: Si sospechas de una infección, revoca inmediatamente todos los tokens de acceso y secretos de nube.
Este incidente subraya la importancia de auditar nuestras dependencias, incluso cuando provienen de fuentes aparentemente confiables dentro del entorno SAP.
