Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código

La escasez de memoria inducida por la IA sacude el mercado indio de teléfonos inteligentes

Apple y Google ordenan eliminar la aplicación ‘nudify’ de la App Store

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»7 paquetes maliciosos de Vite npm utilizan blockchain C2 para entregar RAT
Identidad

7 paquetes maliciosos de Vite npm utilizan blockchain C2 para entregar RAT

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 17, 2026No hay comentarios4 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan17 de julio de 2026Cadena de suministro de software/malware

Investigadores de ciberseguridad han descubierto un grupo de siete paquetes npm maliciosos dirigidos al ecosistema de herramientas front-end de Vite como parte de un ataque a la cadena de suministro de software.

Con el nombre en clave ViteVenom, esta campaña de paquetes maliciosos de Checkmarx marca una expansión de ChainVeil, utilizando una infraestructura de comando y control (C2) basada en blockchain de cuatro capas «sin precedentes» que abarca Tron, Aptos y Binance Smart Chain para implementar shells inversos habilitados para troyanos de acceso remoto (RAT), recolección de credenciales, exfiltración de archivos y puertas traseras persistentes. observado para realizar inyecciones.

«Esta táctica hace que la infraestructura C2 sea extremadamente difícil de desactivar o destruir», dijo el investigador de Checkmarx Pavan Gudimalla en un análisis publicado el mes pasado. Se cree que esta actividad proviene de un actor de amenazas llamado SuccessKey, y se detectó evidencia de actividad maliciosa que se remonta al 27 de febrero de 2026, cuando se activó una billetera de criptomonedas vinculada a ViteVenom.

Publicado en npm en asociación con ChainVeil, Typosquat se hizo pasar por una biblioteca para Tailwind, Sass, ORM y herramientas de limitación de velocidad, pero la última versión se centra específicamente en los desarrolladores que crean aplicaciones utilizando Vite JavaScript y herramientas de compilación front-end.

A continuación se muestra una lista de paquetes identificados publicados entre el 29 de junio de 2026 y el 3 de julio de 2026.

@uw010010/vite-tree (1070 descargas) @vite-tab/tab (289 descargas) @vite-ln/build-ts (252 descargas) @vite-mcp/vite-type (239 descargas) @vite-pro/vite-ui (200 descargas) @vitets/vite-ts (194 descargas) @vite-ts/vite-ui (176 descargas)

Otra diferencia clave entre los dos grupos es que, a diferencia de los typosquats sin alcance de ChainVeil (por ejemplo, «rate-limit-flexible»), ViteVenom utiliza nombres de paquetes con alcance para hacerse pasar por el espacio de nombres «@vitejs/*» y fingir legitimidad.

El aspecto principal que une las dos campañas es el uso de infraestructura compartida de Nivel 2 utilizada para entregar el RAT. Específicamente, esto incluye las mismas direcciones de billetera Tron y cuenta Aptos, y apunta a las mismas transacciones de Binance Smart Chain (BSC) que conducen al malware.

Al igual que con ChainVeil, el código malicioso se ejecuta en el momento de la importación en lugar de en el momento de la instalación, lo que da como resultado una detección de seguridad de punto final limitada. Actúa como un cargador que accede a la infraestructura blockchain para pasar a la siguiente etapa.

Consulta la cadena de bloques de Tron para conocer las últimas transacciones de la billetera del atacante. Decodifica e invierte el campo de datos de la transacción para obtener el hash de la transacción BSC. Consulta la transacción BSC y extrae la carga útil cifrada del campo de entrada. Descifre la carga útil utilizando una clave codificada.

«El atacante almacena el puntero de la carga útil como datos de transacción en una cadena de bloques pública en lugar de como un nombre de dominio confiscable, lo que hace casi imposible derribar la infraestructura», explicó Gudimala.

Si los métodos de adquisición de carga útil basados ​​en Tron fallan, el malware utiliza Aptos como respaldo. La carga útil consulta la cadena de bloques para obtener el cargador de la siguiente etapa, que es responsable de configurar el C2 y lanzar el RAT. Además de esto, existe un mecanismo alternativo que evita completamente la cadena de bloques y recupera el RAT directamente del servidor C2 a través de HTTP.

Se recomienda a los usuarios que hayan instalado el paquete que lo eliminen inmediatamente, auditen las dependencias, roten todas las credenciales y busquen cambios no autorizados en los archivos .bashrc, .zshrc y .profile.

«Las diferencias a nivel superficial, como diferentes nombres de paquetes, diferentes cuentas de mantenimiento, diferentes billeteras de nivel 1 y diferentes rutas de archivos maliciosos, son consistentes con la forma en que un solo operador compartimenta múltiples pistas de distribución para limitar la exposición», dijo Checkmarx.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleReemplazamos nuestro equipo de calefacción y ventilador de techo por electrodomésticos Dyson.
Next Article La startup nuclear Valor Atomics en conversaciones para recaudar nueva financiación con una valoración de 6.000 millones de dólares
corp@blsindustriaytecnologia.com
  • Website

Related Posts

La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código

julio 17, 2026

La nueva botnet NadMesh busca servicios de IA expuestos en busca de claves de nube y tokens de Kubernetes

julio 17, 2026

Subgrupo GoldenEyeDog vinculado a la violación de DigiCert y al robo de certificados de firma de código

julio 17, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código

La escasez de memoria inducida por la IA sacude el mercado indio de teléfonos inteligentes

Apple y Google ordenan eliminar la aplicación ‘nudify’ de la App Store

La startup nuclear Valor Atomics en conversaciones para recaudar nueva financiación con una valoración de 6.000 millones de dólares

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.