Zeven kwaadaardige Vite npm-pakketten gebruiken Blockchain C2 om een ​​RAT te leveren

Cybersecurity-onderzoekers hebben een cluster van zeven kwaadaardige npm-pakketten ontdekt die zich richten op het Vite frontend tooling-ecosysteem als onderdeel van een software supply chain-aanval.

De kwaadaardige pakketcampagne, met codenaam ViteVenom van Checkmarx, markeert een uitbreiding van ChainVieldat werd waargenomen met behulp van een “ongekende” op vier lagen gebaseerde blockchain-gebaseerde command-and-control (C2)-infrastructuur die Tron, Aptos en Binance Smart Chain omvat om een ​​op afstand toegankelijke trojan (RAT) te bieden die in staat is om reverse shell, credential harvesting, file exfiltratie en aanhoudende backdoor-injectie te leveren.

“Deze tactiek maakt het uitschakelen of vernietigen van de C2-infrastructuur uiterst moeilijk”, zei Checkmarx-onderzoeker Pavan Gudimalla in een analyse die vorige maand werd gepubliceerd. De activiteit is toegeschreven aan een bedreigingsacteur genaamd SuccessKey, waarbij bewijs van kwaadaardige activiteit al op 27 februari 2026 werd gedetecteerd, toen cryptocurrency-portefeuilles gekoppeld aan ViteVenom werden geactiveerd.

Terwijl de typosquats die in verband met ChainVeil naar npm zijn gepubliceerd zich voordoen als bibliotheken voor Tailwind, Sass, ORM en snelheidsbeperkende tools, richt de nieuwste versie zich specifiek op ontwikkelaars die applicaties bouwen met behulp van de Vite JavaScript en frontend build-tool.

De lijst met geïdentificeerde pakketten, gepubliceerd tussen 29 juni en 3 juli 2026, staat hieronder:

  • @uw010010/vite-tree (1070 downloads)
  • @vite-tab/tab (289 downloads)
  • @vite-ln/build-ts (252 downloads)
  • @vite-mcp/vite-type (239 downloads)
  • @vite-pro/vite-ui (200 downloads)
  • @vitets/vite-ts (194 downloads)
  • @vite-ts/vite-ui (176 downloads)

Een ander cruciaal verschil tussen de twee clusters is dat, in tegenstelling tot ChainVeil’s unscoped typosquats (bijv. “rate-limit-flexible”), ViteVenom gebruik maakt van scoped pakketnamen in een poging de naamruimte “@vitejs/*” na te bootsen en deze een laagje legitimiteit te geven.

Het belangrijkste aspect dat de twee campagnes verenigt, is het gebruik van gedeelde tier-2-infrastructuur, die wordt gebruikt om de RAT te leveren. Concreet gaat het om dezelfde Tron-portemonnee en Aptos-accountadressen, die verwijzen naar dezelfde Binance Smart Chain (BSC)-transactie die tot de malware heeft geleid.

Net als in het geval van ChainVeil wordt de kwaadaardige code niet uitgevoerd tijdens de installatie, maar tijdens het importeren, wat tot gevolg heeft dat de detecties van de eindpuntbeveiliging worden beperkt. Het fungeert als een lader door contact op te nemen met de blockchain-infrastructuur om de volgende fase te bereiken:

  • Vraag de Tron-blockchain naar de laatste transactie uit de portemonnee van de aanvaller.
  • Decodeer en keer het transactiegegevensveld om om een ​​BSC-transactiehash te verkrijgen.
  • Voer een query uit op de BSC-transactie om de gecodeerde payload uit het invoerveld te extraheren.
  • Decodeer de payload met behulp van een hardgecodeerde sleutel.

“De aanvaller slaat payload-aanwijzers op als transactiegegevens op openbare blockchains in plaats van op domeinnamen die in beslag kunnen worden genomen, waardoor de infrastructuur bijna onmogelijk te ontmantelen is”, legt Gudimalla uit.

Als de op Tron gebaseerde methode voor het ophalen van de payload mislukt, gebruikt de malware Aptos als back-up. De payload vraagt ​​op zijn beurt de blockchain om de C2-configuratie op te halen en een next-stage loader die verantwoordelijk is voor het lanceren van de RAT. Tegelijkertijd bestaat er een fallback-mechanisme dat de RAT rechtstreeks van de C2-server ophaalt via HTTP, waarbij de blockchain volledig wordt omzeild.

Gebruikers die de pakketten hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen, de afhankelijkheden te controleren, alle inloggegevens te roteren en te zoeken naar ongeautoriseerde wijzigingen in de .bashrc-, .zshrc- en .profile-bestanden.

“De verschillen op oppervlakteniveau – verschillende pakketnamen, verschillende beheerdersaccounts, verschillende Tier-1-wallets, verschillende kwaadaardige bestandspaden – komen overeen met hoe een enkele operator meerdere distributiekanalen in compartimenten zou verdelen om de blootstelling te beperken”, aldus Checkmarx.

Thijs Van der Does