Les attaquants de TeamPCP infiltrent le dépôt npm officiel de SAP
Le 30 avril 2026, des chercheurs en sécurité ont découvert que plusieurs packages npm officiels de SAP avaient été compromis par une attaque sophistiquée de la chaîne d'approvisionnement attribuée au groupe de menaces TeamPCP. Le code malveillant était conçu pour exfiltrer des informations d'identification de développeurs sensibles, des jetons d'authentification et potentiellement du code source à partir d'environnements de développement infectés.
L'attaque représente une escalade significative dans le ciblage de la chaîne d'approvisionnement, car SAP maintient l'un des écosystèmes de logiciels d'entreprise les plus utilisés au monde. Les packages compromis ont été distribués via le registre npm officiel, les faisant apparaître légitimes aux développeurs qui mettent régulièrement à jour leurs dépendances. Une analyse initiale suggère que les attaquants ont obtenu un accès non autorisé à l'infrastructure de publication de packages de SAP, leur permettant de pousser des mises à jour malveillantes vers des packages existants plutôt que de créer des alternatives typosquattées.
TeamPCP, auparavant connu pour cibler les échanges de cryptomonnaies et les institutions financières, semble avoir déplacé son attention vers les chaînes d'approvisionnement de logiciels d'entreprise. Les tactiques du groupe impliquent l'intégration de charges utiles JavaScript obfusquées qui s'activent pendant le processus d'installation du package, établissant des mécanismes de persistance qui survivent aux redémarrages du système et aux réinitialisations de l'environnement de développement. Des chercheurs en sécurité de Cyber Security News ont d'abord identifié l'activité malveillante grâce à des systèmes de balayage automatisés de packages qui ont détecté des communications réseau suspectes.
Le code malveillant a employé plusieurs techniques d'évasion sophistiquées, y compris la détection de l'environnement pour éviter l'exécution dans des environnements d'analyse sandboxés, des communications chiffrées de commande et de contrôle, et un déploiement sélectif de charges utiles basé sur les caractéristiques du système cible. Les attaquants ont spécifiquement ciblé les postes de travail de développement exécutant des IDE et éditeurs de code populaires, suggérant qu'ils cherchaient à accéder à des dépôts de code source propriétaires et à des secrets de développement.
Développeurs d'entreprise et utilisateurs de l'écosystème SAP à risque
La compromission affecte les développeurs JavaScript qui utilisent les packages npm officiels de SAP dans leurs applications d'entreprise, en particulier ceux travaillant avec le modèle de programmation d'applications cloud de SAP, les composants du framework UI5 et diverses bibliothèques d'intégration SAP. Les organisations exécutant des pipelines d'intégration continue qui mettent automatiquement à jour les dépendances npm sont à risque accru, car les packages malveillants auraient été automatiquement intégrés dans les environnements de construction.
Les équipes de développement d'entreprise utilisant la plateforme technologique d'entreprise de SAP, SAP Analytics Cloud et les packages d'intégration SAP SuccessFactors sont spécifiquement vulnérables. L'attaque a ciblé des packages avec un nombre élevé de téléchargements, assurant une distribution maximale à travers la communauté des développeurs. Les entreprises avec des systèmes de gestion de dépendances automatisés, y compris celles utilisant des outils d'audit npm et des scanners de vulnérabilités, peuvent avoir installé par inadvertance les packages compromis lors de mises à jour de sécurité de routine.
La portée s'étend au-delà des postes de travail de développeurs individuels pour inclure les environnements de développement partagés, les conteneurs Docker utilisant des images de base affectées, et les plateformes de développement basées sur le cloud qui résolvent automatiquement les dépendances npm. Les organisations dans les secteurs des services financiers, de la fabrication et de la vente au détail qui dépendent fortement des intégrations SAP font face à une exposition accrue, car ces industries utilisent couramment les packages ciblés pour le développement d'applications personnalisées et les intégrations système.
Réponse immédiate et étapes d'atténuation pour les utilisateurs de packages SAP
SAP a initié un protocole de réponse d'urgence, travaillant directement avec npm pour retirer les packages compromis du registre et émettre des avis de sécurité pour les versions affectées. Les équipes de développement doivent immédiatement auditer leurs fichiers package.json et lock pour identifier toute dépendance liée à SAP qui aurait pu être mise à jour au cours des 72 dernières heures. Les organisations doivent effectuer des analyses complètes de leurs environnements de développement en utilisant des outils comme npm audit et des solutions de sécurité de la chaîne d'approvisionnement tierces.
La réponse immédiate recommandée inclut l'isolement de tout poste de travail de développement ayant installé les packages compromis, la rotation de tous les jetons d'authentification et clés API qui pourraient avoir été exposés, et l'examen des récents commits de code pour des changements non autorisés. Les équipes doivent examiner leurs journaux de pipeline CI/CD pour toute activité réseau inhabituelle ou installation de packages inattendue pendant la fenêtre d'attaque. The Hacker News rapporte que SAP coordonne avec les principaux fournisseurs de cloud pour identifier et notifier les clients affectés.
Pour une protection continue, les organisations devraient mettre en œuvre une vérification de l'intégrité des packages en utilisant les capacités de vérification de signature intégrées de npm, établir des listes d'autorisation pour les sources de packages approuvées, et configurer la surveillance du réseau pour détecter les connexions sortantes inhabituelles à partir des environnements de développement. SAP recommande de verrouiller temporairement toutes les versions de packages liées à SAP à des versions connues et sûres jusqu'à ce que l'enquête de sécurité soit terminée et que des packages propres vérifiés soient republiés sur le registre npm.
