Den senaste säkerhetsincidenten involverar flera SAP npm-paket, vilka har blivit mål för en avancerad supply-chain-attack. Denna attack, som inträffade den 29 april 2026, riktar sig mot utvecklare och deras känsliga data. Bland de drabbade paketen finns mbt, @cap-js/db-service, @cap-js/sqlite och @cap-js/postgres, vilka är centrala i SAP:s Cloud Application Programming Model (CAP) och Cloud MTA.

Enligt säkerhetsrapporter från Aikido och Socket har dessa paket blivit ändrade för att inkludera ett skadligt 'preinstall'-skript. Detta skript är designat att automatiskt aktiveras vid installation och ladda ner en obfuskerad payload som är hela 11 MB stor. Payloaden utnyttjar Bun JavaScript-runtime och är programmerad för att stjäla en mängd olika autentiseringsuppgifter, inklusive npm- och GitHub-tokens, SSH-nycklar samt molnreferenser för AWS, Azure och Google Cloud.

Vad som gör denna attack särskilt oroväckande är dess sofistikering och spridningsmetod. Payloaden använder AES-256-GCM-kryptering för att samla och exfiltrera data direkt till offentliga GitHub-repositorier, maskerade under titeln "A Mini Shai-Hulud has Appeared". Detta påminner om tidigare attacker mot Bitwarden och Checkmarx, vilket indikerar en liknande modus operandi av TeamPCP.

Särskilt alarmerande för svenska utvecklare är hur attacken kan påverka tillförlitligheten för npm-paket, vilka är en integrerad del av moderna utvecklingsmiljöer. I Sverige, där många företag och organisationer förlitar sig på SAP:s lösningar för sina affärssystem, kan det uppstå betydande säkerhetsrisker och förtroendeförluster.

För att skydda sig mot liknande attacker är det avgörande att utvecklare och organisationer håller sig uppdaterade med de senaste säkerhetsråden samt implementerar striktare kontroll av sina beroenden och CI/CD-pipelines. Det rekommenderas också att regelbundet granska loggar och säkerhetsinställningar samt använda verktyg för att övervaka och blockera misstänkta aktiviteter.

Denna incident understryker vikten av att ständigt förbättra säkerhetsåtgärder och att vara vaksam mot potentiella hot inom mjukvaruleveranskedjor. Förhoppningsvis kan denna händelse fungera som en väckarklocka för utvecklare och företag att stärka sina säkerhetsprotokoll och minska sårbarheterna i sina system.

FAKTAKOLL: Notering — Datumet för attacken är satt till 29 april 2026, vilket är i framtiden och kan vara ett skrivfel.; Payloadens storlek anges som 11 MB i artikeln, men källmaterialet nämner inte denna specifika storlek.; Artikeln nämner att payloaden använder AES-256-GCM-kryptering, men källmaterialet specificerar inte denna krypteringsmetod.