Onderzoekers hebben malware aangetroffen in vier officiële SAP npm packages die ontworpen zijn om diverse secrets te stelen, waaronder tokens, credentials en configuratiebestanden. Bij installatie van deze gecompromitteerde packages wordt automatisch een schadelijk script uitgevoerd dat de malware installeert en activeert.

De malware richt zich op het verzamelen van gevoelige gegevens zoals SSH private keys, GitHub- en npm-tokens, omgevingsvariabelen, GitHub Actions secrets, AWS- en Azure-gegevens, Kubernetes service account tokens, cryptowalletdata, configuratiebestanden van vpn's en AI-tools, shell history bestanden en data van chatapplicaties zoals Signal, Slack, Telegram en Discord. Daarnaast probeert de malware andere npm packages van getroffen ontwikkelaars te infecteren door gebruik te maken van gestolen npm tokens, waardoor de kwaadaardige code zich verder kan verspreiden binnen de ontwikkelaarsomgeving.

Volgens analyses van securitybedrijven Aikido en Socket is de aanval mogelijk uitgevoerd door een groep die bekendstaat als TeamPCP. Deze groep heeft eerder supply chain-aanvallen uitgevoerd op andere npm packages. Vermoedelijk is de aanval mogelijk gemaakt door een blootgesteld npm token, waarmee de aanvallers toegang kregen om de malware in de officiële SAP packages te injecteren.