{"id":11438,"date":"2026-04-30T08:49:04","date_gmt":"2026-04-30T14:49:04","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11438"},"modified":"2026-04-30T09:20:42","modified_gmt":"2026-04-30T15:20:42","slug":"alerta-2026-44-ataque-cadena-de-sumistro-sap","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2026-44-ataque-cadena-de-sumistro-sap\/","title":{"rendered":"Alerta 2026-45 Ataque cadena de sumistro SAP"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Los siguientes paquetes de SAP Cloud\u00a0Application\u00a0Programming\u00a0Model\u00a0(CAP)\u00a0\n<ul class=\"wp-block-list\">\n<li>mbt@1.2.48\u00a0<\/li>\n\n\n\n<li>@cap-js\/db-service@2.10.1\u00a0<\/li>\n\n\n\n<li>@cap-js\/postgres@2.2.2\u00a0<\/li>\n\n\n\n<li>@cap-js\/sqlite@2.2.2\u00a0<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha identificado una campa\u00f1a activa de ataque a la cadena de suministro denominada \u201cMini Shai&nbsp;Hulud\u201d, dirigida espec\u00edficamente al ecosistema SAP CAP mediante la&nbsp;compromisi\u00f3n&nbsp;de paquetes&nbsp;npm&nbsp;leg\u00edtimos utilizados en procesos de desarrollo y despliegue.&nbsp;<\/p>\n\n\n\n<p>El ataque consiste en la publicaci\u00f3n de versiones maliciosas de paquetes ampliamente utilizados dentro del flujo de desarrollo SAP, incorporando c\u00f3digo malicioso que se ejecuta autom\u00e1ticamente durante la instalaci\u00f3n (npm&nbsp;install) mediante scripts de tipo&nbsp;preinstall&nbsp;.&nbsp;<\/p>\n\n\n\n<p>El&nbsp;payload&nbsp;malicioso incluye m\u00faltiples etapas:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ejecuci\u00f3n autom\u00e1tica previa a la instalaci\u00f3n completa del paquete\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Descarga de binarios externos (runtime\u00a0Bun) para ejecutar c\u00f3digo malicioso\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementaci\u00f3n de un\u00a0payload\u00a0ofuscado encargado de robo de credenciales\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<p>Una vez ejecutado, el&nbsp;malware&nbsp;permite:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Robo de credenciales (GitHub,\u00a0npm, AWS, Azure, GCP,\u00a0Kubernetes, CI\/CD)\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Inserci\u00f3n de\u00a0workflows\u00a0maliciosos en repositorios GitHub para persistencia\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Publicaci\u00f3n autom\u00e1tica de paquetes comprometidos (comportamiento tipo\u00a0worm)\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Propagaci\u00f3n lateral a trav\u00e9s de pipelines de desarrollo y despliegue\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<p>Adicionalmente, se ha observado que el ataque compromete el pipeline de publicaci\u00f3n&nbsp;upstream, incluso abusando de integraciones automatizadas (ej. herramientas de IA\/c\u00f3digo asistido con acceso a repositorios), lo que representa un vector altamente sofisticado&nbsp;<\/p>\n\n\n\n<p>Algunos&nbsp;IoC&nbsp;encontrados hasta el momento son:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/webhook.site\/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/webhook.site\/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7<\/a>\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>.github\/workflows\/shai-hulud-workflow.yml\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Llamadas a la API de GCPsecretmanager.googleapis.com\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Consultas de registro de NPM aregistry.npmjs.org\/v1\/search\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Llamadas a la API de GitHubapi.github.com\/repos\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ejecuci\u00f3n de\u00a0TruffleHog\u00a0con\u00a0argumentosfilesystem\u00a0\/\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comandos de publicaci\u00f3n de NPM con &#8211;forcebandera\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comandos\u00a0Curl\u00a0dirigidos a dominios\u00a0webhook.site\u00a0<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n y mitigaciones:<\/h2>\n\n\n\n<p>Se recomiendan&nbsp;la siguientes acciones&nbsp;de forma inmediata:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Eliminar versiones comprometidas de los paquetes afectados\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Rotar todas las credenciales expuestas, incluyendo:\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tokens\u00a0npm\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>GitHub tokens\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Credenciales\u00a0cloud\u00a0(AWS, Azure, GCP)\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Revisar integridad de repositorios y pipelines CI\/CD\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Deshabilitar ejecuci\u00f3n autom\u00e1tica de scripts\u00a0preinstall\u00a0en entornos controlados\u00a0\u00a0<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Implementar pol\u00edticas de verificaci\u00f3n de dependencias (SCA \/ SBOM)\u00a0.\u00a0<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.aikido.dev\/blog\/mini-shai-hulud-has-appeared\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.aikido.dev\/blog\/mini-shai-hulud-has-appeared<\/a>\u00a0<\/li>\n\n\n\n<li><a href=\"https:\/\/cybersecuritynews.com\/sap-npm-packages-compromised\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cybersecuritynews.com\/sap-npm-packages-compromised\/<\/a>\u00a0<\/li>\n\n\n\n<li><a href=\"https:\/\/www.wiz.io\/blog\/mini-shai-hulud-supply-chain-sap-npm\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.wiz.io\/blog\/mini-shai-hulud-supply-chain-sap-npm<\/a>\u00a0<\/li>\n\n\n\n<li><a href=\"https:\/\/www.endorlabs.com\/learn\/mini-shai-hulud-npm-worm-hits-sap-developer-packages\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.endorlabs.com\/learn\/mini-shai-hulud-npm-worm-hits-sap-developer-packages<\/a>\u00a0<\/li>\n<\/ul>\n","protected":false},"featured_media":6170,"template":"","class_list":["post-11438","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11438","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":3,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11438\/revisions"}],"predecessor-version":[{"id":11445,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11438\/revisions\/11445"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6170"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}