⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um cluster de sete pacotes npm maliciosos direcionados ao ecossistema de ferramentas frontend Vite como parte de um ataque à cadeia de suprimentos de software.
A campanha de pacotes maliciosos, codinome ViteVenom da Checkmarx, marca uma expansão do ChainVeil, que foi observada usando uma infraestrutura de comando e controle (C2) baseada em blockchain de quatro camadas "sem precedentes", abrangendo Tron, Aptos e Binance Smart Chain para fornecer um shell reverso capaz de trojan de acesso remoto (RAT), coleta de credenciais, exfiltração de arquivos e injeção persistente de backdoor.
“Essa tática torna extremamente difícil desabilitar ou destruir a infraestrutura C2”, disse Pavan Gudimalla, pesquisador da Checkmarx, em uma análise publicada no mês passado. A atividade foi atribuída a um ator de ameaça chamado SuccessKey, com evidências de atividades maliciosas detectadas já em 27 de fevereiro de 2026, quando carteiras de criptomoedas vinculadas ao ViteVenom foram ativadas.
Embora os typosquats publicados no npm em conexão com ChainVeil se disfarçassem como bibliotecas para Tailwind, Sass, ORM e ferramentas de limitação de taxa, a iteração mais recente se concentra especificamente em desenvolvedores que criam aplicativos usando o JavaScript Vite e a ferramenta de construção de front-end.
A lista de pacotes identificados, publicada entre 29 de junho e 3 de julho de 2026, está abaixo -
@uw010010/vite-tree (1070 downloads)
@vite-tab/tab (289 downloads)
@vite-ln/build-ts (252 downloads)
@vite-mcp/vite-type (239 downloads)
@vite-pro/vite-ui (200 downloads)
@vitets/vite-ts (194 downloads)
@vite-ts/vite-ui (176 downloads)
Outra diferença crucial entre os dois clusters é que, ao contrário dos typosquats sem escopo do ChainVeil (por exemplo, "rate-limit-flexible"), ViteVenom faz uso de nomes de pacotes com escopo definido em uma tentativa de personificar o namespace "@vitejs/*" e dar-lhe um verniz de legitimidade.
O principal aspecto que une as duas campanhas é o uso de infraestrutura compartilhada de nível 2, que é utilizada para entregar o RAT. Especificamente, isso envolve os mesmos endereços de carteira Tron e de conta Aptos, que apontam para a mesma transação Binance Smart Chain (BSC) que leva ao malware.
Como no caso do ChainVeil, o código malicioso não é executado no momento da instalação, mas no momento da importação, o que tem como consequência limitar as detecções de segurança do endpoint. Ele atua como um carregador, acessando a infraestrutura blockchain para obter o próximo estágio -
Consulte o blockchain Tron para obter a transação mais recente da carteira do invasor.
Decodifique e inverta o campo de dados da transação para obter um hash de transação BSC.
Consulte a transação BSC para extrair a carga criptografada de seu campo de entrada.
Descriptografe a carga usando uma chave codificada.
“O invasor armazena ponteiros de carga útil como dados de transação em blockchains públicos, em vez de nomes de domínio que podem ser apreendidos, tornando a infraestrutura quase impossível de ser derrubada”, explicou Gudimalla.
Se o método de recuperação de carga baseado em Tron falhar, o malware usa o Aptos como backup. A carga útil, por sua vez, consulta o blockchain para recuperar a configuração C2 e um carregador de próximo estágio responsável por lançar o RAT. Paralelamente, existe um mecanismo de fallback que busca o RAT diretamente do servidor C2 por HTTP, ignorando completamente o blockchain.
Os usuários que instalaram os pacotes são aconselhados a removê-los imediatamente, auditar dependências, alternar todas as credenciais e procurar modificações não autorizadas nos arquivos .bashrc, .zshrc e .profile.
“As diferenças de nível superficial – diferentes nomes de pacotes, diferentes contas de mantenedores, diferentes carteiras Tier-1, diferentes caminhos de arquivos maliciosos – são consistentes com a forma como um único operador compartimentaria múltiplas faixas de distribuição para limitar a exposição”, disse Checkmarx.
A campanha de pacotes maliciosos, codinome ViteVenom da Checkmarx, marca uma expansão do ChainVeil, que foi observada usando uma infraestrutura de comando e controle (C2) baseada em blockchain de quatro camadas "sem precedentes", abrangendo Tron, Aptos e Binance Smart Chain para fornecer um shell reverso capaz de trojan de acesso remoto (RAT), coleta de credenciais, exfiltração de arquivos e injeção persistente de backdoor.
“Essa tática torna extremamente difícil desabilitar ou destruir a infraestrutura C2”, disse Pavan Gudimalla, pesquisador da Checkmarx, em uma análise publicada no mês passado. A atividade foi atribuída a um ator de ameaça chamado SuccessKey, com evidências de atividades maliciosas detectadas já em 27 de fevereiro de 2026, quando carteiras de criptomoedas vinculadas ao ViteVenom foram ativadas.
Embora os typosquats publicados no npm em conexão com ChainVeil se disfarçassem como bibliotecas para Tailwind, Sass, ORM e ferramentas de limitação de taxa, a iteração mais recente se concentra especificamente em desenvolvedores que criam aplicativos usando o JavaScript Vite e a ferramenta de construção de front-end.
A lista de pacotes identificados, publicada entre 29 de junho e 3 de julho de 2026, está abaixo -
@uw010010/vite-tree (1070 downloads)
@vite-tab/tab (289 downloads)
@vite-ln/build-ts (252 downloads)
@vite-mcp/vite-type (239 downloads)
@vite-pro/vite-ui (200 downloads)
@vitets/vite-ts (194 downloads)
@vite-ts/vite-ui (176 downloads)
Outra diferença crucial entre os dois clusters é que, ao contrário dos typosquats sem escopo do ChainVeil (por exemplo, "rate-limit-flexible"), ViteVenom faz uso de nomes de pacotes com escopo definido em uma tentativa de personificar o namespace "@vitejs/*" e dar-lhe um verniz de legitimidade.
O principal aspecto que une as duas campanhas é o uso de infraestrutura compartilhada de nível 2, que é utilizada para entregar o RAT. Especificamente, isso envolve os mesmos endereços de carteira Tron e de conta Aptos, que apontam para a mesma transação Binance Smart Chain (BSC) que leva ao malware.
Como no caso do ChainVeil, o código malicioso não é executado no momento da instalação, mas no momento da importação, o que tem como consequência limitar as detecções de segurança do endpoint. Ele atua como um carregador, acessando a infraestrutura blockchain para obter o próximo estágio -
Consulte o blockchain Tron para obter a transação mais recente da carteira do invasor.
Decodifique e inverta o campo de dados da transação para obter um hash de transação BSC.
Consulte a transação BSC para extrair a carga criptografada de seu campo de entrada.
Descriptografe a carga usando uma chave codificada.
“O invasor armazena ponteiros de carga útil como dados de transação em blockchains públicos, em vez de nomes de domínio que podem ser apreendidos, tornando a infraestrutura quase impossível de ser derrubada”, explicou Gudimalla.
Se o método de recuperação de carga baseado em Tron falhar, o malware usa o Aptos como backup. A carga útil, por sua vez, consulta o blockchain para recuperar a configuração C2 e um carregador de próximo estágio responsável por lançar o RAT. Paralelamente, existe um mecanismo de fallback que busca o RAT diretamente do servidor C2 por HTTP, ignorando completamente o blockchain.
Os usuários que instalaram os pacotes são aconselhados a removê-los imediatamente, auditar dependências, alternar todas as credenciais e procurar modificações não autorizadas nos arquivos .bashrc, .zshrc e .profile.
“As diferenças de nível superficial – diferentes nomes de pacotes, diferentes contas de mantenedores, diferentes carteiras Tier-1, diferentes caminhos de arquivos maliciosos – são consistentes com a forma como um único operador compartimentaria múltiplas faixas de distribuição para limitar a exposição”, disse Checkmarx.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sete #pacotes #vite #npm #maliciosos #usam #blockchain #c2 #para #entregar #um #rat
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário