SAP-NPM-Pakete mit Schadcode infiziert: Credential-Diebstahl auf breiter Front

Unbekannte Angreifer haben sich Zugang zu SAPs NPM-Ökosystem verschafft und Schadcode in mehrere Softwarepakete eingeschleust. Die Kompromittierung zielt offenbar auf die massenhafte Erfassung von Entwickler-Zugangsdaten. SAP hat die manipulierten Pakete inzwischen aus dem Registry entfernt, doch die Reichweite des Angriffs bleibt Gegenstand laufender Analysen. Die Warnung an betroffene Entwickler ist eindeutig: Umgehend Credentials rotieren und Zugriffsprotokolle auf Anomalien prüfen.

Die Angreifer nutzten laut vorliegenden Informationen die Supply-Chain-Infrastruktur von SAP, um trojanisierte Pakete in die offiziellen NPM-Registries einzuschleusen. Dabei handelte es sich um scheinbar legitime JavaScript-Bibliotheken, die in Unternehmensumgebungen weit verbreitet sind. Der eingebettete Schadcode wurde so konzipiert, dass er bei der Paketinstallation automatisch Zugangsdaten aus der lokalen Entwicklungsumgebung abgreift und an einen externen Server übermittelt. Betroffen sind mindestens mehrere Softwareprojekte aus dem SAP-Ökosystem, die NPM als Abhängigkeitsquelle nutzen.

Der Vorfall unterstreicht die anhaltende Anfälligkeit von Software-Lieferketken gegenüber Injection-Angriffen. Für Unternehmen, die SAP-Lösungen in ihren Entwicklungsworkflows einsetzen, ergibt sich unmittelbarer Handlungsbedarf. Neben dem sofortigen Wechsel kompromittierter Zugangsdaten empfiehlt sich eine vollständige Revision der CI/CD-Pipelines und eine Überprüfung der installierten Paketversionen gegen die von SAP bereitgestellten Listen. Wie viele Entwicklerteams konkret betroffen sind und ob die gestohlenen Credentials bereits für Folgeangriffe missbraucht wurden, ist zum jetzigen Zeitpunkt nicht abschließend geklärt.