Pacotes ligados ao ecossistema SAP foram comprometidos em um ataque de cadeia de suprimentos que rouba credenciais. Entenda o caso.
A keyword SAP entrou no radar do Google Trends no Brasil nesta quarta, 30 de abril, após a divulgação de um ataque que comprometeu pacotes npm usados no ecossistema de desenvolvimento da empresa. Segundo a Aikido Security, versões específicas de bibliotecas ligadas ao SAP CAP e ao fluxo de build em nuvem passaram a executar malware automaticamente durante a instalação.
Os pacotes afetados identificados até agora são @cap-js/sqlite v2.2.2, @cap-js/postgres v2.2.2, @cap-js/db-service v2.10.1 e mbt 1.2.48. O ponto mais sensível é que o código malicioso roda no momento do npm install, antes mesmo de a instalação terminar, por meio de um script preinstall que chama o arquivo setup.mjs.
Por que SAP está em alta no Brasil?
O tema ganhou tração porque a SAP é amplamente usada por grandes empresas, consultorias, times de TI e operações corporativas no Brasil. Quando um ataque atinge pacotes ligados a esse ecossistema, o alerta não fica restrito a especialistas em segurança: ele impacta cadeias de desenvolvimento, ambientes de nuvem, automações de deploy e credenciais corporativas que podem estar presentes em máquinas de desenvolvedores e em pipelines de CI/CD.
De acordo com a Aikido, o ataque segue um padrão de supply chain, ou cadeia de suprimentos de software. Em vez de invadir diretamente uma empresa alvo, os invasores adulteram componentes confiáveis usados por muitas equipes. No caso analisado, o pacote legítimo continuava aparentemente normal, mas recebeu dois arquivos extras — setup.mjs e execution.js — além da inclusão do comando malicioso no package.json.
Como o malware funciona na prática?
O primeiro estágio baixa o runtime Bun 1.3.13 a partir do GitHub e o usa para executar um segundo arquivo com carga maliciosa. Esse segundo estágio, chamado execution.js, tem cerca de 11,7 MB e foi descrito como um ladrão de credenciais com capacidade de propagação.
Segundo a investigação, o malware tenta coletar uma lista extensa de segredos e tokens. Entre eles estão credenciais locais de desenvolvedores, tokens do GitHub, tokens do npm, variáveis de ambiente, segredos do GitHub Actions e dados de provedores de nuvem como AWS, Azure e GCP, além de tokens de Kubernetes. A exfiltração dos dados seria feita por meio de repositórios públicos no GitHub, com descrição padronizada: “A Mini Shai-Hulud has Appeared”.
Outro detalhe que chamou atenção dos pesquisadores é a palavra-chave de propagação OhNoWhatsGoingOnWithGitHub. O malware buscaria commits com essa string para decodificar tokens e verificar acesso a repositórios. Quando consegue criar um novo repositório, grava arquivos de resultado criptografados no caminho results/results-<timestamp>-<counter>.json.
Qual pode ter sido a porta de entrada?
A principal pista pública apontada pela Aikido envolve um possível vazamento de token npm em builds de pull request no CircleCI. A empresa relata que, em um PR curto e depois apagado no repositório SAP/cloud-mta-build-tool, houve alterações que adicionavam um carregador baseado em Bun e um payload ofuscado. Os logs do CircleCI, segundo a análise, listavam segredos redigidos do projeto, incluindo CLOUD_MTA_BOT_NPM_TOKEN, CLOUD_MTA_BOT_GITHUB_TOKEN, tokens OIDC, credenciais do Docker Hub e variáveis ligadas a release.
Esses indícios não significam, por si só, um diagnóstico forense definitivo de toda a campanha, mas representam a linha de investigação mais forte mencionada pela fonte. Também houve avisos do Octokit para criação de repositórios via API do GitHub, o que combina com o comportamento de exfiltração descrito no código malicioso.
O que empresas e desenvolvedores devem fazer agora?
A recomendação imediata é procurar nos ambientes internos sinais dos pacotes comprometidos e dos arquivos setup.mjs e execution.js. Também vale revisar logs de CI, caches de pacotes, registries internos, artefatos e máquinas de desenvolvedores em busca de downloads do Bun 1.3.13 durante instalações.
Se qualquer um dos pacotes afetados tiver sido instalado, a orientação é rotacionar segredos — e não apenas tokens do npm. A lista de alvos do malware inclui GitHub, provedores de nuvem, Kubernetes, segredos de CI e credenciais locais. Em outras palavras: trocar só uma senha pode não bastar.
Para times de tecnologia no Brasil, o caso reforça uma discussão que vem crescendo em 2026: a segurança de dependências open source virou tema de governança, não apenas de infraestrutura. Isso vale para startups, consultorias e grandes corporações que operam com múltiplos ambientes e automações.
Na avaliação da redação do A Capa, embora este seja um tema técnico, ele toca uma conversa mais ampla sobre segurança digital, trabalho e confiança nas plataformas. Para a comunidade LGBTQ+, que tem forte presença em tecnologia, desenvolvimento e inovação no Brasil, incidentes assim também lembram a importância de ambientes profissionais seguros, com boas práticas de proteção de dados e resposta rápida a riscos reais — sem pânico, mas com transparência.
Perguntas Frequentes
Quais pacotes SAP foram afetados?
Segundo a Aikido, os pacotes identificados até agora são @cap-js/sqlite 2.2.2, @cap-js/postgres 2.2.2, @cap-js/db-service 2.10.1 e mbt 1.2.48.
O malware rouba quais tipos de credenciais?
Ele tenta coletar tokens do GitHub e npm, variáveis de ambiente, segredos de CI/CD e credenciais de AWS, Azure, GCP e Kubernetes, entre outros dados locais.
Se minha equipe instalou um desses pacotes, o que fazer?
O mais urgente é investigar os ambientes afetados e rotacionar todos os segredos potencialmente expostos, não só os do npm. Também é importante revisar logs, repositórios e pipelines.
💜 Curtiu essa matéria? No Disponível.com você encontra milhares de perfis reais para conexões, amizades ou algo mais. Crie seu perfil grátis →
