
Investigadores de ciberseguridad han descubierto un grupo de siete paquetes npm maliciosos dirigidos al ecosistema de herramientas front-end de Vite como parte de un ataque a la cadena de suministro de software.
Con el nombre en clave ViteVenom, esta campaña de paquetes maliciosos de Checkmarx marca una expansión de ChainVeil, utilizando una infraestructura de comando y control (C2) basada en blockchain de cuatro capas «sin precedentes» que abarca Tron, Aptos y Binance Smart Chain para implementar shells inversos habilitados para troyanos de acceso remoto (RAT), recolección de credenciales, exfiltración de archivos y puertas traseras persistentes. observado para realizar inyecciones.
«Esta táctica hace que la infraestructura C2 sea extremadamente difícil de desactivar o destruir», dijo el investigador de Checkmarx Pavan Gudimalla en un análisis publicado el mes pasado. Se cree que esta actividad proviene de un actor de amenazas llamado SuccessKey, y se detectó evidencia de actividad maliciosa que se remonta al 27 de febrero de 2026, cuando se activó una billetera de criptomonedas vinculada a ViteVenom.
Publicado en npm en asociación con ChainVeil, Typosquat se hizo pasar por una biblioteca para Tailwind, Sass, ORM y herramientas de limitación de velocidad, pero la última versión se centra específicamente en los desarrolladores que crean aplicaciones utilizando Vite JavaScript y herramientas de compilación front-end.
A continuación se muestra una lista de paquetes identificados publicados entre el 29 de junio de 2026 y el 3 de julio de 2026.
@uw010010/vite-tree (1070 descargas) @vite-tab/tab (289 descargas) @vite-ln/build-ts (252 descargas) @vite-mcp/vite-type (239 descargas) @vite-pro/vite-ui (200 descargas) @vitets/vite-ts (194 descargas) @vite-ts/vite-ui (176 descargas)
Otra diferencia clave entre los dos grupos es que, a diferencia de los typosquats sin alcance de ChainVeil (por ejemplo, «rate-limit-flexible»), ViteVenom utiliza nombres de paquetes con alcance para hacerse pasar por el espacio de nombres «@vitejs/*» y fingir legitimidad.
El aspecto principal que une las dos campañas es el uso de infraestructura compartida de Nivel 2 utilizada para entregar el RAT. Específicamente, esto incluye las mismas direcciones de billetera Tron y cuenta Aptos, y apunta a las mismas transacciones de Binance Smart Chain (BSC) que conducen al malware.
Al igual que con ChainVeil, el código malicioso se ejecuta en el momento de la importación en lugar de en el momento de la instalación, lo que da como resultado una detección de seguridad de punto final limitada. Actúa como un cargador que accede a la infraestructura blockchain para pasar a la siguiente etapa.
Consulta la cadena de bloques de Tron para conocer las últimas transacciones de la billetera del atacante. Decodifica e invierte el campo de datos de la transacción para obtener el hash de la transacción BSC. Consulta la transacción BSC y extrae la carga útil cifrada del campo de entrada. Descifre la carga útil utilizando una clave codificada.
«El atacante almacena el puntero de la carga útil como datos de transacción en una cadena de bloques pública en lugar de como un nombre de dominio confiscable, lo que hace casi imposible derribar la infraestructura», explicó Gudimala.
Si los métodos de adquisición de carga útil basados en Tron fallan, el malware utiliza Aptos como respaldo. La carga útil consulta la cadena de bloques para obtener el cargador de la siguiente etapa, que es responsable de configurar el C2 y lanzar el RAT. Además de esto, existe un mecanismo alternativo que evita completamente la cadena de bloques y recupera el RAT directamente del servidor C2 a través de HTTP.
Se recomienda a los usuarios que hayan instalado el paquete que lo eliminen inmediatamente, auditen las dependencias, roten todas las credenciales y busquen cambios no autorizados en los archivos .bashrc, .zshrc y .profile.
«Las diferencias a nivel superficial, como diferentes nombres de paquetes, diferentes cuentas de mantenimiento, diferentes billeteras de nivel 1 y diferentes rutas de archivos maliciosos, son consistentes con la forma en que un solo operador compartimenta múltiples pistas de distribución para limitar la exposición», dijo Checkmarx.
Source link
