Cyber-orm forvandler udviklere til ufrivillige spredere: Nu er SAP ramt

Annonceindlæg fra Computerworld it-jobbank

Mød 3.500+ it-talenter på IT-DAY 2026

Hos Computerworld it-jobbank er vi stolte af at fortsætte det gode partnerskab med folkene bag IT-DAY – efter vores mening Danmarks bedste karrieremesse for unge og erfarne it-kandidater.

Problemer i open source-miljøet er nu ved at vokse sig så store, at de er svære at ignorere.

For tredje gang på ganske kort tid har en hackergruppe under navnet TeamPCP inficeret populære softwarepakker, som bliver brugt af hundredtusindvis af udviklere.

Digitale, trojanske heste. Selvspredende malware, som banditterne selv kalder, 'Mini Shai-Hulud' – opkaldt efter sandormene fra science fiction-universet Dune.

Konkret omfatter bølgen af supply chain-angreb gennem open source-miljøet npm og PyPI, hvor hackere planter credential-stjælende malware.

Ifølge det britiske techmedie The Register er flere officielle npm-pakker fra SAP’s cloud- og JavaScript-økosystem blevet kompromitteret sammen med Intercoms populære SDK-pakke og AI-frameworket Lightning.

Malwaren aktiveres automatisk, når udviklere installerer de kompromitterede pakker. Derefter støvsuger sandormen systemerne for GitHub-tokens, cloud credentials og adgangsnøgler til CI/CD-miljøer.

Samtidig forsøger malwaren at sprede sig videre til andre repositorier og udviklingsmiljøer.

Læs også: Din supply chain er blevet et attraktivt mål for hackergrupperne: Mark Fiedel fra Center for Cybersikkerhed er klar med en opsang

De kompromitterede SAP-pakker alene bliver downloadet over 570.000 gange om ugen. Lightning-frameworket hentes hundredtusindvis af gange dagligt af udviklere, der bygger AI-løsninger.

Ifølge The Register har SAP afvist at svare på spørgsmål, men peger på en intern notits på selskabets hjemmeside om hændelsen - en notits, man dog skal være kunde for at kunne læse.

Ifølge sikkerhedsfirmaerne Wiz og Socket forsøger angrebene ikke bare at stjæle data – men at forvandle de kompromitterede udviklermiljøer til nye angrebsplatforme.

Både Wiz og Socket understreger pointen, der gør Mini Shai-Hulud farligere end en gennemsnitlig credential-stealer: malwaren er bygget til at sprede sig. Med stjålne npm- og GitHub-tokens leder den efter ofrets andre pakker, injicerer sig selv, og publicerer nye kompromitterede versioner

En gedigen frygt i cybermiljøet, fordi poolen af berørte organisationer bliver konstant større som ringe i vandet.

Nu skal virksomheder også holde øje med selve byggestenene under deres software.

Læs også: Et af de mest udbredte Javascript-værktøjer kapret af hackere: Bølge af angreb kan ramme i stor skala