Segurança

Sete pacotes maliciosos do npm para Vite usam C2 em blockchain para distribuir RAT

Pesquisadores de cibersegurança identificaram sete pacotes maliciosos no npm que miram o ecossistema da ferramenta de frontend Vite, usando uma infraestrutura de comando e controle (C2) em blockchain de quatro camadas para distribuir um trojan de acesso remoto (RAT).


Ravie Lakshmanan Sexta - 17 de Julho de 2026 às 19:11
The Hacker News

Pesquisadores de cibersegurança identificaram um cluster de sete pacotes maliciosos no npm (gerenciador de pacotes do Node.js) que miram o ecossistema da ferramenta de frontend Vite, como parte de um ataque à cadeia de suprimentos de software.

A campanha de pacotes maliciosos, batizada de ViteVenom pela Checkmarx, marca uma expansão do ChainVeil, que foi observado utilizando uma infraestrutura de comando e controle (C2, na sigla em inglês para Command and Control) baseada em blockchain de quatro camadas, considerada "sem precedentes", abrangendo as redes Tron, Aptos e Binance Smart Chain (BSC) para distribuir um trojan de acesso remoto (RAT, na sigla em inglês para Remote Access Trojan) capaz de abrir um shell reverso, coletar credenciais, exfiltrar arquivos e injetar backdoors persistentes.

"Essa tática torna extremamente difícil desativar ou destruir a infraestrutura de C2", afirmou o pesquisador da Checkmarx, Pavan Gudimalla, em uma análise publicada no mês passado. A atividade foi atribuída a um agente de ameaça chamado SuccessKey, com evidências de atividade maliciosa detectadas desde 27 de fevereiro de 2026, quando carteiras de criptomoedas vinculadas ao ViteVenom foram ativadas.

Enquanto os typosquats (pacotes com nomes propositalmente parecidos com bibliotecas legítimas) publicados no npm em conexão com o ChainVeil se passavam por bibliotecas de ferramentas como Tailwind, Sass, ORM (mapeamento objeto-relacional) e limitadores de taxa (rate limiting), a iteração mais recente tem como foco específico desenvolvedores que constroem aplicações usando a ferramenta de build JavaScript e frontend Vite.

A lista de pacotes identificados, publicados entre 29 de junho e 3 de julho de 2026, é a seguinte:

  • @uw010010/vite-tree (1.070 downloads)
  • @vite-tab/tab (289 downloads)
  • @vite-ln/build-ts (252 downloads)
  • @vite-mcp/vite-type (239 downloads)
  • @vite-pro/vite-ui (200 downloads)
  • @vitets/vite-ts (194 downloads)
  • @vite-ts/vite-ui (176 downloads)

Outra diferença crucial entre os dois clusters é que, ao contrário dos typosquats sem escopo do ChainVeil (por exemplo, "rate-limit-flexible"), o ViteVenom faz uso de nomes de pacotes com escopo na tentativa de se passar pelo namespace "@vitejs/*" e conferir uma aparência de legitimidade.

O principal aspecto que une as duas campanhas é o uso compartilhado da infraestrutura de camada 2 (tier-2), que é usada para distribuir o RAT. Especificamente, isso envolve os mesmos endereços de carteira Tron e conta Aptos, que apontam para a mesma transação na Binance Smart Chain (BSC) que leva ao malware.

Assim como no caso do ChainVeil, o código malicioso não é executado no momento da instalação, mas no momento da importação, o que tem como consequência limitar as detecções de segurança em endpoints. Ele atua como um carregador (loader) ao contatar a infraestrutura blockchain para obter a próxima etapa:

  • Consultar a blockchain Tron em busca da transação mais recente da carteira do atacante.
  • Decodificar e inverter o campo de dados da transação para obter o hash de uma transação na BSC.
  • Consultar a transação na BSC para extrair o payload (carga útil) criptografado de seu campo de entrada (input).
  • Descriptografar o payload usando uma chave embutida no código (hard-coded).

"O atacante armazena ponteiros para o payload como dados de transação em blockchains públicas, em vez de em nomes de domínio que podem ser confiscados, tornando a infraestrutura praticamente impossível de ser derrubada", explicou Gudimalla.

Se o método de recuperação de payload baseado em Tron falhar, o malware usa a Aptos como contingência. O payload, por sua vez, consulta a blockchain para recuperar a configuração do C2 e um carregador de próxima etapa responsável por iniciar o RAT. Em paralelo, existe um mecanismo de fallback que busca o RAT diretamente no servidor de C2 via HTTP, contornando completamente a blockchain.

Os usuários que instalaram os pacotes são orientados a removê-los imediatamente, auditar as dependências, rotacionar todas as credenciais e procurar por modificações não autorizadas nos arquivos .bashrc, .zshrc e .profile.

"As diferenças superficiais — nomes de pacotes diferentes, contas de mantenedor diferentes, carteiras de camada 1 diferentes, caminhos de arquivos maliciosos diferentes — são consistentes com a forma como um único operador compartimentalizaria múltiplos canais de distribuição para limitar a exposição", afirmou a Checkmarx.

cibersegurança npm blockchain