Aanvallers zijn erin geslaagd om officiële SAP npm packages te voorzien van malware die allerlei secrets steelt, zoals tokens, credentials en configuratiehbestanden. Daarnaast probeert de malware andere packages van getroffen ontwikkelaars te infecteren zodat het zich verder kan verspreiden. Het gaat in totaal om vier packages, melden securitybedrijven Aikido en Socket in een analyse. Wanneer ontwikkelaars de gecompromitteerde packages installeren wordt er automatisch een script op hun systeem uitgevoerd dat de malware installeert en uitvoert.

De malware steelt onder andere SSH private keys, Github- en npm-tokens, omgevingsvariabelen, GitHub Actions secrets, AWS- en Azure-gegevens, Kubernetes service account tokens, data van cryptowallets, configuratiebestanden van vpn's en AI-tools, shell history bestanden en data van chatapps Signal, Slack, Telegram en Discord. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages.

Bij geïnfecteerde ontwikkelaars kijkt de malware welke npm packages die allemaal beheren. Vervolgens wordt door middel van gestolen npm tokens de malware ook aan deze packages toegevoegd, zodat die zich verder kan verspreiden. Volgens onderzoekers van Socket is de aanval mogelijk uitgevoerd door een groep genaamd TeamPCP die eerder door middel van supplychain-aanvallen ook andere packages wist te compromitteren. Mogelijk zou de groep via een blootgesteld npm token de aanval hebben kunnen uitvoeren.