AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Comprometidos varios paquetes npm oficiales de SAP en un ataque supply-chain atribuido a TeamPCP**

admin

### 1. Introducción

El ecosistema de desarrollo de SAP se ha visto gravemente afectado por un reciente incidente de ciberseguridad relacionado con la cadena de suministro de software. Diversos paquetes npm oficiales de SAP han sido comprometidos en un ataque que se atribuye al grupo TeamPCP, con el objetivo de robar credenciales y tokens de autenticación de los entornos de desarrolladores. Este suceso pone de manifiesto la creciente sofisticación de los ataques supply-chain y la urgente necesidad de reforzar la seguridad en la gestión de dependencias software, especialmente en entornos empresariales críticos como los que utilizan soluciones SAP.

### 2. Contexto del Incidente

El incidente salió a la luz cuando varios investigadores y usuarios de la comunidad open source detectaron actividad anómala en una serie de paquetes npm bajo el namespace oficial de SAP. El análisis posterior reveló que las versiones afectadas incluían cargas maliciosas diseñadas para exfiltrar información sensible de los sistemas de los desarrolladores. Se estima que el compromiso se produjo a través de la manipulación de credenciales de acceso a la cuenta npm de SAP o la explotación de un pipeline de CI/CD vulnerable, permitiendo a los atacantes subir versiones troyanizadas de los paquetes legítimos.

Este ataque sigue la tendencia observada en los últimos años, donde actores maliciosos buscan comprometer la cadena de suministro software para obtener acceso indirecto a infraestructuras empresariales. TeamPCP, un grupo de amenazas conocido por sus ataques a proyectos open source y ecosistemas de dependencias, ha sido vinculado a incidentes anteriores con técnicas similares, aunque en esta ocasión el alcance y la criticidad del objetivo elevan la gravedad del incidente.

### 3. Detalles Técnicos

Entre los paquetes afectados destacan `@sap/eslint-plugin-ui5`, `@sap/ux-specification` y `@sap/cds`. Las versiones comprometidas (por ejemplo, la 3.19.0 de `@sap/eslint-plugin-ui5` y la 1.104.2 de `@sap/ux-specification`) contenían scripts posinstalación (`postinstall`) que ejecutaban código JavaScript malicioso. Este código era responsable de recolectar variables de entorno, archivos de configuración, y tokens, y exfiltrarlos a un servidor controlado por los atacantes a través de solicitudes HTTP cifradas.

El vector principal de ataque se basa en la ejecución automática de scripts al instalar los paquetes npm afectados, aprovechando la confianza de los desarrolladores en los repositorios oficiales. Las TTPs identificadas se corresponden con MITRE ATT&CK T1195.002 (Supply Chain Compromise: Compromise Software Dependencies & Development Tools) y T1086 (PowerShell, en caso de ejecución sobre sistemas Windows).

Entre los Indicadores de Compromiso (IoC) se encuentran dominios como `team-pcp[.]xyz` y direcciones IP asociadas a servidores de comando y control (C2) activos durante la campaña. Los investigadores han detectado módulos maliciosos que eran difíciles de distinguir de los originales, lo que dificultó la detección temprana del ataque.

### 4. Impacto y Riesgos

El compromiso de estos paquetes tiene un potencial devastador para las organizaciones que integran SAP en sus procesos de desarrollo. Se estima que decenas de miles de descargas de las versiones afectadas pudieron dar lugar a filtraciones de credenciales, claves API y tokens de autenticación, exponiendo a empresas de todo el mundo a posibles accesos no autorizados y movimientos laterales en sus redes.

Más allá del impacto directo, este incidente pone en riesgo la integridad de pipelines CI/CD, repositorios internos y proyectos derivados, facilitando ataques de mayor alcance como el secuestro de cuentas, la escalada de privilegios o la persistencia en entornos críticos. La magnitud del ataque y la reputación de SAP como proveedor crítico elevan el riesgo sistémico para sectores regulados bajo GDPR y NIS2.

### 5. Medidas de Mitigación y Recomendaciones

SAP ha procedido a retirar las versiones comprometidas y ha publicado versiones limpias de los paquetes afectados. Se recomienda encarecidamente a los equipos de desarrollo:

– Revisar y actualizar todos los paquetes SAP npm a la última versión segura.
– Auditar sistemas y pipelines en busca de artefactos y conexiones sospechosas hacia los IoC publicados.
– Rotar inmediatamente credenciales, tokens y claves API potencialmente expuestos.
– Implementar controles de seguridad en pipelines de CI/CD, como la revisión manual de dependencias y la desactivación de scripts posinstalación innecesarios.
– Utilizar herramientas de escaneo SCA (Software Composition Analysis) y monitorización activa de dependencias.

### 6. Opinión de Expertos

Analistas de ciberseguridad como los equipos de SANS y profesionales de Red Canary han subrayado la necesidad de fortalecer la seguridad en la cadena de suministro software, especialmente en ecosistemas donde la automatización y la integración continua son la norma. “Este incidente demuestra que incluso los proveedores más reputados pueden ser vectores de ataque si no se endurecen los procesos de publicación y revisión de paquetes”, señala un CISO de una multinacional europea.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que basan parte de su stack tecnológico en SAP deben reforzar su postura de seguridad, revisando no solo las dependencias externas sino también los procesos internos de gestión de código y despliegue. La exposición de credenciales puede derivar en brechas regulatorias, sanciones bajo GDPR y notificaciones obligatorias según la directiva NIS2. Los equipos SOC y de respuesta ante incidentes deben estar preparados para rastrear posibles movimientos laterales y actividades anómalas originadas desde entornos de desarrollo.

### 8. Conclusiones

El ataque a los paquetes npm oficiales de SAP por parte de TeamPCP es un recordatorio de la importancia de la seguridad en toda la cadena de suministro software. La profesionalización de los atacantes y el uso de técnicas sofisticadas exige a las organizaciones adoptar una aproximación proactiva en la gestión de dependencias, la monitorización y la respuesta ante incidentes.

(Fuente: www.bleepingcomputer.com)