SAP公式npmパッケージ4件、認証情報の窃取目論むサプライチェーン攻撃で侵害される

SAP公式npmパッケージ4件、認証情報の窃取目論むサプライチェーン攻撃で侵害される

BleepingComputer – April 29, 2026

脅威アクターTeamPCPの関与が疑われるサプライチェーン攻撃において、SAPの公式npmパッケージ数件が侵害されていたという。開発者のシステムから認証情報および認証トークンを盗み出すことを目的としたこの攻撃について、AikidoおよびSocketが報告した。

両社の研究者らによると、今回侵害されたのはSAPのCloud Application Programming Model（CAP）およびCloud MTAをサポートする以下4つのパッケージ。これらのパッケージは攻撃者により改ざんされ、悪意ある「preinstall」スクリプトが混入されていたという。なおこれらのバージョンは、現在までにNPM上から削除されている。

• @cap-js/sqlite – v2.2.2
• @cap-js/postgres – v2.2.2
• @cap-js/db-service – v2.10.1
• mbt – v1.2.48

これらのnpmパッケージがインストールされると、仕込まれた悪意あるスクリプトが自動で実行され、ローダー「setup.mjs」を起動。このローダーにより、GitHubからJavaScriptランタイム「Bun」がダウンロードされ、これを使ってexecution.jsペイロードが実行される。

このペイロードはインフォスティーラーになっており、感染した開発者マシンおよびCI/CD環境の両方から以下のような情報を盗み出そうとする：

• npmおよびGitHubの認証トークン
• SSH鍵や開発者の認証情報
• AWS、Azure、Google Cloudのクラウド認証情報
• Kubernetesの構成設定やシークレット
• CI/CDのシークレットや環境変数

など

同マルウェアはまた、TeamPCPによる過去のサプライチェーン攻撃で見受けられたのと同様に、CIランナーのメモリから直接シークレットを抜き出そうとするという。Socketの研究者らは、BitwardenおよびCheckmarxに影響を与えたサプライチェーンインシデントで観測されたものと構造的に一致するメモリスキャナーが使用されたと指摘している。

さらに、今回のマルウェアは盗んだデータを暗号化して公開GitHubリポジトリにそのデータをアップし、「A Mini Shai-Hulud has Appeared」という説明文を残す。この挙動は、過去にShai-Huludキャンペーンで確認されたものと似ているという。加えて、その他のパッケージへと自己拡散するためのコードがペイロードに含まれる点も、過去のワームサプライチェーンキャンペーンと一致している。

そもそもSAPのnpm公開プロセスがどのように侵害されたのかについては明かされていないが、セキュリティエンジニアのAdnan Khan氏は、設定不備のあるCircleCIジョブを通じてnpmトークンが漏洩していた可能性があると指摘しているとのこと。

Cordial SpiderとSnarky Spider：Scattered Spiderの手口を踏襲する2つの新たな恐喝グループ

Cyberscoop – April 30, 2026

サイバー犯罪集団「The Com」と関連する2組の脅威グループ「Cordial Spider」および「Snarky Spider」が、ビッシングや偽のSSOページなどの手段を使ってSaaS環境に侵入し、恐喝目的でデータを盗み出そうとしているという。クラウドストライクが新たなブログ記事の中で報告した。

Cordial SpiderおよびSnarky Spiderは、金銭的動機で活動する攻撃者グループ。ネイティブ英語話者のメンバーで構成されているとみられ、遅くとも2025年10月から米国を拠点とする学問・航空・小売・病院・自動車・金融サービス・法律・テクノロジーといった部門の組織を主に攻撃してきたという。

両グループともに、Scattered Spiderに加え、SLSH（Scattered LAPSUS$ Hunters）やShinyHuntersなどThe Com関連のその他のサブグループと密接に連携しており、戦術においてもビッシングなどのソーシャルエンジニアリング戦術を多用する点が一致している。

Cordial SpiderおよびSnarky Spiderの攻撃は、大まかに以下のような流れで実施される。

• 音声通話やテキストメッセージ、Eメールを利用してフィッシングルアーを仕掛け、ターゲット従業員をフィッシングページへ誘導する。
• 正規の従業員向けログインページやシングルサインオン（SSO）ページを模倣したフィッシングページで、従業員に認証情報を入力させる。
• 入力された認証情報やセッションキー／トークンを盗み、これを利用して当該従業員のSaaSエコシステム全体を侵害する。
• 侵害されたアカウントに攻撃者自身のMFAデバイスを紐付け、アクセスを維持する
• 「confidential」「SSN」「contracts」「VPN」などの検索クエリを使用し、機密性の高いデータを探し、抜き取る。
• 抜き取られたデータは恐喝に利用され、身代金を支払わない一部の被害者に対してはDDoS攻撃を仕掛ける。Snarky Spiderによる攻撃では、被害企業の従業員に対するスワッティングなど、より過激なハラスメント戦術も使われている。

Cordial SpiderとSnarky Spiderの恐喝を目的としたデータ窃取にはかなりの類似点があり、住宅用プロキシネットワークを悪用してIPベースの検出を回避する点も一致している。一方で、活動する時間帯や使用するフィッシングドメインのプロバイダー、好むOS、データリークサイトなどに相違があり、TTPの違いも見受けられるという。

クラウドストライクは両グループがまだScattered Spiderほどの技量を有するには至っていないとしながらも、共通点は多いと指摘。「新世代のScattered Spiderのようなものだ」と説明している。