Sintesi

Proseguono le campagne di compromissione che interessano le supply chain, prendendo di mira in questo contesto i componenti Cloud Application Programming Model di SAP. L’obiettivo dell’attacco consiste nella distribuzione di una versione malevola dei pacchetti attraverso i canali ufficiali di distribuzione e nella conseguente esfiltrazione di credenziali dai sistemi interessati. L’incidente si inserisce nel contesto delle recenti compromissioni delle supply chain inerenti a Bitwarden CLI, Trivy, Checkmarx e LiteLLM, come indicato nei Bollettini riportati nella sezione Correlati.

Tipologia

• Remote Code Execution
• Information Disclosure
• Tampering

Descrizione e potenziali impatti

Nel dettaglio, il 29 aprile 2026 risulterebbero essere state pubblicate sul registro npm versioni malevole dei pacchetti @cap-js/sqlite v2.2.2 , @cap-js/postgres v2.2.2 , @cap-js/db-service v2.10.1 , mbt v1.2.48 – successivamente deprecate e rimosse – contenenti codice malevolo integrato nel pacchetto di distribuzione. Tale codice risulterebbe essere stato progettato per attivarsi automaticamente in fase di installazione/esecuzione dei pacchetti, consentendo l’esfiltrazione di credenziali e segreti (tra cui token GitHub e npm, chiavi SSH e credenziali cloud) dai sistemi interessati.

Le funzionalità malevole risultano particolarmente rilevanti in ambienti di sviluppo e pipeline CI/CD, dove i componenti sono comunemente utilizzati. Sebbene le versioni compromesse siano state rapidamente messe in quarantena, gli utenti che le abbiano inavvertitamente installate dovrebbero considerare i propri ambienti come potenzialmente compromessi e procedere con le opportune attività di mitigazione.

Prodotti e versioni affette

• SAP Cloud Application Programming Model

Azioni di mitigazione

Secondo quanto dichiarato dai vendor, sono state rilasciate nuove versioni sicure in sostituzione di quelle compromesse.

Disinstallare immediatamente la versione compromessa

procedere alla rimozione della versione malevola dei pacchetti:

• npm uninstall @cap-js/sqlite
• npm uninstall @cap-js/postgres
• npm uninstall @cap-js/db-service
• npm uninstall mbt

Pulire la cache di npm

eliminare eventuali artefatti residui:

• npm cache clean –force

Disabilitare temporaneamente l’esecuzione degli script npm

come misura precauzionale durante le attività di bonifica:

• npm config set ignore-scripts true

Ruotare tutte le credenziali potenzialmente esposte

procedere alla rotazione immediata dei segreti di:

• token API
• chiavi SSH
• credenziali e token utilizzati in ambienti di sviluppo e automazione

Verificare attività e configurazioni su GitHub e CI/CD

esaminare eventuali accessi non autorizzati o modifiche anomale a:

• repository GitHub
• workflow CI/CD
• credenziali e token associati

Installare una versione aggiornata e sicura

completate le attività di mitigazione, installare la versione corretta del componente:

• npm install @cap-js/sqlite@latest
• npm install @cap-js/postgres@latest
• npm install @cap-js/db-service@latest
• npm install -g mbt@latest