Monat: Mai 2026

Veröffentlicht am

Aktuelle Patches

Top 10 der SAP Security Notes für Mai2026.

1. Score 9.6   (Hot News)

Nummer: 3733064

[CVE-2026-34263] Fehlende Authentifizierungsprüfung in SAP-Commerce-Cloud-Konfiguration

In SAP Commerce Cloud wurde eine kritische Sicherheitslücke entdeckt, die auf eine Fehlkonfiguration des Spring Security-Frameworks zurückzuführen ist. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, über einen manipulierten Konfigurations-Upload eine Code-Injection durchzuführen. Dies führt im schlimmsten Fall dazu, dass der Angreifer die vollständige Kontrolle über den Server erlangt, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der gesamten E-Commerce-Plattform hat. Um dieses Sicherheitsrisiko zu beheben, sollten Administratoren die entsprechenden Patches und Updates sofort einspielen.

READ MORE

2. Score 9.6   (Hot News)

Nummer: 3724838

[CVE-2026-34260] SQL-Injection-Schwachstelle in SAP S/4HANA (SAP Enterprise Search für ABAP)

In der SAP Enterprise Search für ABAP, einer Komponente von SAP S/4HANA, wurde eine Sicherheitslücke entdeckt, die authentifizierten Angreifern eine SQL-Injection ermöglicht. Diese Schwachstelle entsteht, weil die Anwendung Benutzereingaben direkt in SQL-Abfragen verkettet, ohne diese zuvor ausreichend zu validieren oder zu bereinigen. Ein Angreifer kann diese ungesicherten Eingaben ausnutzen, um schädliche SQL-Anweisungen in die Abfragen einzuschleusen und an die zugrunde liegende Datenbank zu übermitteln. Nach erfolgreicher Ausnutzung ist der Angreifer in der Lage, unberechtigten Zugriff auf vertrauliche Datenbankinformationen zu erlangen. Zudem besteht die Gefahr, dass die Anwendung durch die eingeschleusten Befehle zum Absturz gebracht wird. Dies hat erhebliche negative Auswirkungen auf die Vertraulichkeit der Daten und die Verfügbarkeit des Systems, während die Integrität der Daten nicht direkt beeinträchtigt wird.

READ MORE

3. Score 8.2   (High priority)

Nummer: 3732471

[CVE-2026-34259] OS-Command-Injection-Schwachstelle in SAP Forecasting and Replenishment

In SAP Forecasting and Replenishment (F&R) wurde eine kritische Schwachstelle im Zusammenhang mit der Ausführung von Betriebssystembefehlen (OS Command Execution) festgestellt. Diese Lücke ermöglicht es einem authentifizierten Angreifer, der bereits über administrative Berechtigungen verfügt, eine eigentlich nicht remote-fähige Funktion für bösartige Zwecke zu missbrauchen. Durch diese missbräuchliche Nutzung kann der Angreifer beliebige Betriebssystembefehle ausführen. Dies gestattet ihm, sensible Systemdaten unbefugt auszulesen oder zu manipulieren, sowie das gesamte System vollständig herunterzufahren. Im Ergebnis führt die erfolgreiche Ausnutzung zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des gesamten F&R-Systems. Die betroffenen Systeme sollten umgehend aktualisiert werden, um diesen Angriffsvektor zu schließen.

READ MORE

4. Score 6.5   (Medium Priority)

Nummer: 3730019

[CVE-2026-40135] BS-Command-Injection-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Eine neu entdeckte Sicherheitslücke betrifft den SAP NetWeaver Application Server für ABAP sowie die ABAP-Plattform. Es handelt sich um eine BS-Command-Injection-Schwachstelle, die besonders brisant ist. Ein Angreifer, der bereits über administrative Rechte verfügt, kann diese Lücke ausnutzen, um manipulierte Shell-Befehle direkt auf dem Server abzusetzen. Das kritische Element hierbei ist die Fähigkeit des Angreifers, den Protokollierungsmechanismus zu umgehen. Infolgedessen können schädliche Betriebssystembefehle völlig unbemerkt und ohne Spur in den Logs ausgeführt werden. Dies bedroht unmittelbar die Integrität und die Verfügbarkeit der betroffenen Anwendung. Wichtig zu wissen ist, dass laut SAP die Vertraulichkeit der Daten durch diese spezifische Lücke nicht gefährdet ist. Betreiber sollten dennoch umgehend Patches einspielen, um die Systemintegrität sicherzustellen.

READ MORE

5. Score 6.3   (Medium Priority)

Nummer: 3718083

[CVE-2026-40133] Fehlende Berechtigungsprüfung in SAP-S/4HANA-Konditionspflege

Auch die SAP-S/4HANA-Konditionspflege weist eine Sicherheitslücke auf, die auf eine fehlende Berechtigungsprüfung zurückzuführen ist. Diese Schwachstelle ermöglicht es einem authentifizierten Angreifer, unbefugten Zugriff auf Konditionstabellensätze zu erlangen. Dadurch können diese Sätze unrechtmäßig eingesehen und sogar modifiziert werden. Obwohl die direkten Auswirkungen auf die Vertraulichkeit und Integrität der Daten laut SAP als gering eingestuft werden, besteht ein weiteres Risiko: Die Schwachstelle kann rechtmäßige Benutzer am Zugriff auf die Datensätze hindern. Dies beeinträchtigt die Verfügbarkeit der Anwendung in geringem Maße. Betreiber sollten die entsprechenden Patches und Updates zeitnah einspielen, um die Systemsicherheit und den reibungslosen Ablauf zu gewährleisten.

READ MORE

6. Score 6.1   (Medium Priority)

Nummer: 3727717

[CVE-2026-40137] Cross-Site-Scripting-Schwachstelle (XSS) in Business-Server-Pages-Anwendung (TAF_APPLAUNCHER)

In einer neu entdeckten Sicherheitslücke in der SAP-Komponente TAF_APPLAUNCHER innerhalb von Business Server Pages (BSP) liegt ein beträchtliches Risiko. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um gezielt manipulierte Links zu erstellen. Wenn ein Opfer, ob angemeldet oder nicht, auf einen dieser Links klickt, wird dessen Browser automatisch auf eine externe, vom Angreifer kontrollierte Website umgeleitet. Auf dieser schädlichen Seite könnte der Angreifer potenziell vertrauliche Informationen, die im Browser des Opfers gespeichert sind, auslesen oder manipulieren. Während dies ein begrenztes Risiko für die Vertraulichkeit und Integrität der Anwendung darstellt, ist die Verfügbarkeit der Anwendung keineswegs gefährdet. Betreiber sollten die entsprechenden Patches zeitnah einspielen.

READ MORE

7. Score 5.4   (Medium Priority)

Nummer: 3721959

[CVE-2026-40132] Fehlende Berechtigungsprüfung in SAP Strategic Enterprise Management (BSP-Applikation „Balanced Scorecard Wizard“)

Eine Sicherheitslücke im SAP Strategic Enterprise Management (SEM), genauer gesagt im Scorecard Wizard innerhalb der Business Server Pages (BSP), resultiert aus einer fehlenden Berechtigungsprüfung. Dies ermöglicht es einem bereits authentifizierten Angreifer, unbefugt auf geschützte Informationen zuzugreifen. Über diesen Informationszugriff hinaus kann die Schwachstelle ausgenutzt werden, um Standardeinstellungen zu modifizieren und Wertefelder zu manipulieren. Dies führt zu einer Verfälschung von Risikobewertungen und kann dazu führen, dass eingeschätzte Risikostufen fälschlicherweise herabgestuft werden. Aufgrund dieser Manipulationsmöglichkeiten sind die Vertraulichkeit und Integrität der Daten in geringem Maße beeinträchtigt, während die Verfügbarkeit der Anwendung unbeeinflusst bleibt.

READ MORE

8. Score 4.8   (Medium Priority)

Nummer: 3716450

[CVE-2025-68161] Mögliche fehlerhafte Zertifikatsvalidierung in SAP Commerce Cloud (Apache Log4j)

Ein bekanntes Sicherheitsrisiko (CVE-2025-68161) im Zusammenhang mit veralteten Apache Log4j-Komponenten betrifft auch SAP Commerce Cloud. Die Schwachstelle liegt konkret im SocketAppender von Log4j Core, wo eine korrekte TLS-Hostnamensverifikation fehlt. Dies ermöglicht es nicht authentifizierten Angreifern, sich über das Netzwerk zwischen den Protokollserver und den Client zu schalten. Im Rahmen eines Man-in-the-Middle-Angriffs können so sensible Protokolldaten während der Übertragung abgefangen, mitgelesen oder sogar umgeleitet werden. Zwar stuft SAP die Auswirkungen auf Vertraulichkeit und Integrität nur als gering ein und schließt eine Beeinträchtigung der Verfügbarkeit aus, doch sollten Admins den entsprechenden Patch einspielen, um diesen Angriffsvektor zu schließen.

READ MORE

9. Score 4.7   (Medium Priority)

Nummer: 3728690

[CVE-2026-27682] Reflected-Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von Business Server Pages)

Im SAP NetWeaver Application Server ABAP wurde eine Reflected-Cross-Site-Scripting-Schwachstelle (XSS) innerhalb von Anwendungen identifiziert, die auf Business Server Pages (BSP) basieren. Ein nicht authentifizierter Angreifer kann diese Lücke ausnutzen, indem er eine speziell präparierte URL erstellt, die einen ungesicherten Parameter verwendet, um schädliche Skripte einzubetten. Sobald ein Opfer diesen manipulierten Link aufruft, wird der injizierte Code während der Generierung der Webseite verarbeitet und direkt im Browserkontext des Nutzers ausgeführt. Dies ermöglicht es dem Angreifer potenziell, auf sensible Informationen zuzugreifen oder Daten unbefugt zu modifizieren. Während die Vertraulichkeit und die Integrität der Anwendung durch diesen Angriff beeinträchtigt werden, hat die Schwachstelle keine Auswirkungen auf die allgemeine Verfügbarkeit des Systems.

10. Score 4.7   (Medium Priority)

Nummer: 3726583

[CVE-2026-34258] Content-Spoofing-Schwachstelle in SAPUI5 (Such-UI)

SAPUI5 (Such-UI) ermöglicht es einem nicht authentifizierten Angreifer, bestimmte URL-Parameter auf der Such-UI zu manipulieren, um schädlichen Inhalt einzuschließen. Eine erfolgreiche Ausnutzung kann Opferbenutzer dazu führen, dass sie auf eine von der Anwendung gerenderte, vom Angreifer gesteuerte Seite klicken und darauf zugreifen können. Diese Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit ohne Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

READ MORE

>> Weitere Security Notes, 8 mit der Priorität Medium und 2 mit Low Priority  https://me.sap.com/securitynotes

Das regelmäßige Einspielen von Security-Patches ist aus drei Gründen unverzichtbar:

  • Schutz vor Totalausfall & Sabotage: Wie die aktuellen Meldungen zu Denial-of-Service (DoS) zeigen, können Angreifer Systeme gezielt lahmlegen. Ohne Patches riskieren Unternehmen kostspielige Stillstände der gesamten Produktion oder des Vertriebs.

  • Prävention von Datendiebstahl: Schwachstellen wie SQL-Injections oder XML-Manipulationen sind offene Türen für Industriespionage. Einmal im System, können Angreifer unbemerkt sensible Geschäftsgeheimnisse oder Kundendaten absaugen.

  • Compliance & Haftung: Gesetzliche Anforderungen (wie die DSGVO) und interne Audits fordern ein angemessenes Sicherheitsniveau. Wer bekannte Lücken offen lässt, handelt grob fahrlässig und riskiert nicht nur Bußgelder, sondern auch einen massiven Reputationsverlust.

Veröffentlicht am

Deep-Dive: Dirty Frag — Warum Angreifer jetzt jeden SAP Linux-Server „rooten“ können

Am 7. Mai 2026 hat Hyunwoo Kim (@v4bel), ein Security-Forscher, den Nachfolger von Copy Fail veröffentlicht: Dirty Frag (auch „Copy Fail 2“). Das Ergebnis: Ein unprivilegierter lokaler Benutzer kann auf den meisten Linux-Distributionen innerhalb einer Kommandozeile root-Privilegien erlangen.

Working PoC. Deterministisch. 99% Erfolgsrate. Kein Race Condition nötig. Kein Kernel-Panic bei Fehlschlag.

Was ist Dirty Frag?

Dirty Frag kombiniert zwei Page-Cache-Schreib-Primitiven im Linux-Kernel: eine im xfrm-ESP (IPsec) Subsystem (CVE-2026-43284) und eine im RxRPC-Subsystem (CVE-2026-43500). Beide flaws ermöglichen die Manipulation von Page-Cache-Memory, die nicht ausschließlich vom Kernel besessen wird — was zur Korruption sensibler Dateien und letztlich zu Privileg-Eskalation führt.

Der Unterschied zu Copy Fail: Dirty Frag funktioniert unabhängig davon, ob das algif_aead-Modul aktiviert ist. Das heißt: Systeme, die bereits gegen Copy Fail gehärtet wurden, sind trotzdem anfällig.

Warum funktioniert es überall?

Die genial-bösartige Architektur: Die beiden Exploits decken gegenseitig die Blindstellen ab.

  • Das ESP-Exploit benötigt die Berechtigung zum Erstellen von User-Namespaces. Ubuntu blockiert das standardmäßig mit AppArmor.
  • Das RxRPC-Exploit benötigt keine Namespace-Berechtigungen — aber das rxrpc.ko-Modul ist auf den meisten Distributionen nicht vorinstalliert. Ubuntu lädt es standardmäßig.

Chain die beiden zusammen, und fast jede Distribution hat mindestens einen Pfad offen.

Wer ist betroffen?

Bestätigt betroffen: Ubuntu 24.04.4, RHEL 8/9/10, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 8/9/10, Fedora 44, SUSE Virtualization (alle Versionen), OpenShift 4.

Die betroffene Code-Logik im ESP-Subsystem existiert seit Januar 2017. RxRPC seit Juni 2023. Das bedeutet: Die meisten produktiven Linux-Server sind prinzipiell verwundbar.

Was bedeutet das für SAP-Systeme?

RHEL und SUSE Linux Enterprise sind die beiden primären Betriebssysteme für SAP-Produktivumgebungen. SAP HANA, S/4HANA, NetWeaver — alles läuft auf Linux. Und auf diesen Servern gibt es regelmäßig mehrere lokale Benutzer: SAP-Service-Accounts, Monitoring-Tools, Backup-Agenten, CI/CD-Pipelines für ABAP-Transporte.

Jeder dieser lokalen Benutzer kann Dirty Frag ausführen und sich zu root hocharbeiten.

Die Angriffssequenz ist denkbar einfach:

  1. Angreifer erlangt lokalen Zugang (SSH-Credential-Phishing, kompromittierter Service-Account, Schwachstelle in einer Web-App wie GLPI)
  2. Dirty Frag PoC wird ausgeführt — ein Command, öffentlich verfügbar
  3. Root-Zugriff auf den SAP-Server
  4. Ab hier: SAP-Systemdateien manipulieren, Berechtigungen ändern, Backdoors einbauen, Daten exfiltrieren

Microsoft hat bereits limitierte In-the-Wild-Aktivitäten beobachtet: Angreifer erlangen SSH-Zugriff, laden ein ELF-Binary namens ./update hoch, und eskalieren sofort mit su — ein Muster, das auf Dirty Frag hindeutet. Nach der Eskalation manipulieren sie LDAP-Authentifizierungsdateien, inspizieren PHP-Session-Dateien, und löschen Spuren.

Patches?

Der xfrm-ESP-Bug (CVE-2026-43284) wurde im Linux-Kernel mainline gepatcht (Commit f4c50a4034e6). Für das RxRPC-Problem (CVE-2026-43500) gibt es bisher keinen Patch.

Red Hat klassifiziert die Vulnerabilität als „Important“ (nicht Critical) und arbeitet an beschleunigten Fixes für RHEL 8/9/10 sowie OpenShift 4. SUSE hat bestätigt, dass alle SUSE-Virtualization-Versionen betroffen sind, und arbeitet an Kernel-Updates.

Ein komplettes Version-Matrix ist noch nicht verfügbar.

Was kann sofort gemacht werden?

Bis Patches verfügbar sind, empfehlen alle Distributionen, die betroffenen Kernel-Module zu blocklisten:

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null; true

Aber: Das Blocklisten von esp4/esp6 bricht IPsec-Funktionalität. Und rxrpc bricht AFS-Client-Konnektivität. Wer IPsec für SAP-Site-to-Site-VPNs oder verschlüsselte Systemlandschaften nutzt, muss die Auswirkung evaluieren.

Alternative für RHEL: Unprivilegierte User-Namespaces deaktivieren (user.max_user_namespaces=0). Das blockt nur die ESP-Variante — RxRPC bleibt offen. Und rootless Container, Flatpak, und sandboxed Browser funktionieren nicht mehr.

Warum das relevant ist

Dirty Frag gehört zu einer Bug-Klasse, die mit Dirty Pipe (2022) begann: deterministische Logik-Bugs im Kernel, die keine Timing-Fenster brauchen, keine Race Conditions, und keine komplexe Exploit-Infrastruktur. Ein Local-User mit Shell-Zugriff reicht.

Für SAP-Systeme auf RHEL oder SUSE bedeutet das: Jeder kompromittierte Service-Account ist ein Root-Account. Jedes phishige SSH-Passwort ist ein System-Kompromittierung. Und das nicht theoretisch — der PoC ist öffentlich, die Attack Pattern sind dokumentiert, und erste In-the-Wild-Fälle sind bestätigt.

Das ist kein „wir prüfen das beim nächsten Patch-Day“-Problem. Es ist ein „welche SAP-Server haben heute noch die Module geladen“-Problem.

Veröffentlicht am

Deep-Dive: Wie Angreifer vier offizielle SAP-npm-Pakete infiziert haben

Am 29. April 2026 hat eine unbekannte Angriffsgruppe vier npm-Pakete kompromittiert, die offiziell zum SAP-Ökosystem gehören. Die infizierten Versionen waren zwischen zwei und vier Stunden lang auf npm verfügbar. Wer in diesem Zeitfenster npm install ausgeführt hat, hat Schadsoftware auf seinem System.

Was infiziert wurde

Die betroffenen Pakete sind zentrale Bausteine des SAP Cloud Application Programming Model (CAP) — dem Standardframework für custom Development auf SAP BTP, S/4HANA Side-by-Side Extensions und Fiori-Backends:

  • mbt@1.2.48 (MTA Build Tool)
  • @cap-js/db-service@2.10.1
  • @cap-js/postgres@2.2.2
  • @cap-js/sqlite@2.2.2

Das Besondere: Der eigentliche Paketcode ist sauber. Die normalen Dateien der infizierten Versionen stimmen Byte-für-Byte mit den vorherigen, sauberen Versionen überein. Die Kompromittierung versteckt sich in zwei hinzugefügten Dateien: setup.mjs und execution.js, sowie einem preinstall-Hook in der package.json.

Das bedeutet: Die Malware wird automatisch ausgeführt, wenn jemand npm install ausführt — noch bevor die Installation abgeschlossen ist.

Wer dahintersteckt

Die Malware bezeichnet sich selbst als „Mini Shai-Hulud“ — eine Anspielung auf den sandwüstenbasierenden Wurm aus Dune. Sie ist Teil einer größeren Kampagne, die seit Ende 2025 npm-Pakete unterschiedlicher Anbieter infiziert. Die aktuellen Angriffsmuster gleichen denen der „TeamPCP“-Gruppe, die bereits mehrere supply chain Angriffe auf CI/CD-Infrastrukturen durchgeführt hat.

SAP hat am 30. April die Security Note 3747787 veröffentlicht und saubere Versionen aller vier Pakete nachgeliefert.

Wie die Angreifer an die npm-Token gekommen sind

Der wahrscheinlichste Einstiegspunkt ist ein CircleCI-PR-Build des SAP-Repositories cloud-mta-build-tool. Am 29. April wurde ein kurzlebiges Draft-PR mit dem Titel „feat: ci speedup“ geöffnet — und innerhalb weniger Minuten wieder geschlossen. Der Branch wurde später force-pushed, sodass der GitHub-Diff leer ist.

CircleCI hat aber die Build-Logs behalten. Der PR-Build zeigte, dass während des Build-Prozesses Secrets verfügbar waren — darunter CLOUD_MTA_BOT_NPM_TOKENCLOUD_MTA_BOT_GITHUB_TOKEN, OIDC-Tokens, Docker Hub-Zugänge und Cloud Foundry-Credentials. In den Logs tauchen auch Octokit-Warnungen für POST https://api.github.com/user/repos auf. Das entspricht genau dem GitHub-Exfiltrationsverhalten der Malware.

Der Schluss: Jemand hat einen PR gegen das SAP-Repository erstellt, in dem der CircleCI-Build mit den echten Release-Tokens lief. Die Malware im PR-Code hat die Tokens extrahiert und mit dem NPM-Token die infizierten Pakete unter dem offiziellen SAP-Account auf npm veröffentlicht.

Was die Malware macht

Die erste Stage, setup.mjs, lädt die Bun-JavaScript-Runtime (Version 1.3.13) von GitHub herunter und führt damit execution.js aus. Warum Bun? Es umgeht Monitoring-Tools, die auf Node.js-Prozesse überwachen.

execution.js ist ein 11,7 MB großer, verschleierter Credential Stealer und Propagationsframework. Er sammelt:

  • GitHub-Tokens (inklusive gh auth token)
  • npm-Tokens aus .npmrc
  • AWS STS-Identitäten, Secrets Manager, SSM-Parameter
  • Azure Key Vault-Zugänge und Secret-Werte
  • GCP Secret Manager
  • Kubernetes Service Account Tokens
  • GitHub Actions Secrets (dafür wird der Runner.Worker-Prozess im Speicher gelesen und maskierte Secrets extrahiert)
  • Claude-Config, VPN-Configs, Signal-Config, sogar Electrum-Wallets

Die Daten werden mit AES-256-GCM verschlüsselt, der Schlüssel mit einem eingebetteten RSA-4096-Public-Key verpackt, und über öffentliche GitHub-Repositories exfiltriert — erstellt unter dem Konto des Opfers. Die Repos haben zufällige Dune-bezogene Namen und die Beschreibung: „A Mini Shai-Hulud has Appeared“.

Aktuell sind über 1.100 derartige Repos identifizierbar.

Was das für SAP-Kunden bedeutet

CAP ist das de-facto Framework für fast alles Custom auf SAP BTP. Side-by-Side Extensions, Fiori-Backends, Integration-Flows, MTAs — all das nutzt @cap-js/*-Pakete, häufig mit lockeren Version-Ranges und vielen transitive Dependencies.

Das direkte Risiko besteht, wenn Entwickler oder CI/CD-Pipelines am 29. April zwischen 09:55 und 15:40 UTC eines der vier Pakete mit der infizierten Version installiert haben. Die Folge: Das System ist kompromittiert, die Tokens sind weg, und die Malware hat versucht, sich auf alle Repositories zu verbreiten, auf die der Token Zugriff hatte.

Wie man prüft, ob man betroffen ist

Die betroffenen Versionsnummern sind bekannt. Ein Scan der package-lock.json-Dateien auf die vier konkreten Versionen reicht als erster Check. Zusätzlich sollten GitHub-Konten der Entwickler auf unbefugte öffentliche Repositories überprüft werden.

SAP hat die Security Note 3747787 veröffentlicht. Die sauberen Paketversionen überschreiben die infizierten.

Warum das relevant ist

Dieser Angriff zeigt ein Muster, das über SAP hinausgeht: Supply-Chain-Kompromittierungen über CI/CD-Tokens werden zur Norm. Der Unterschied zu klassischen SAP-Security-Themen wie Berechtigungen oder Patches ist, dass dieses Risiko nicht im SAP-System selbst liegt. Es liegt in der Entwicklungsumgebung, im Build-Prozess, im npm-Token.

Keine SIEM-Korrelationsregel wird einen kompromittierten preinstall-Hook erkennen. Kein SAP-Basis-Admin wird einen npm-Token prüfen. Und niemand hat daran gedacht, dass ein PR-Build mit echten Release-Tokens laufen könnte.

Das ist kein SAP-Problem. Es ist ein Software-Supply-Chain-Problem. Aber weil die infizierten Pakete offiziell zum SAP-Ökosystem gehören, trifft es SAP-Kunden direkt.