Alerta por siete paquetes npm maliciosos en Vite que distribuyen RAT

Publicado el

Nuevas amenazas en el ecosistema Vite

Recientes investigaciones han revelado la existencia de siete paquetes npm maliciosos que atacan el entorno de desarrollo Vite, en lo que se califica como un ataque a la cadena de suministro de software. Esta campaña, conocida como ViteVenom, ha sido identificada por Checkmarx y representa una expansión de la actividad maliciosa de ChainVeil.

La estrategia utilizada por los atacantes consiste en un sofisticado sistema de comando y control (C2) que se basa en una infraestructura blockchain de cuatro niveles, abarcando redes como Tron, Aptos y Binance Smart Chain. Este sistema permite la entrega de un troyano de acceso remoto (RAT) que facilita el acceso no autorizado a sistemas, la recolección de credenciales, la exfiltración de archivos y la inyección de puertas traseras persistentes. Según el investigador Pavan Gudimalla, la complejidad de esta infraestructura dificulta la desactivación o eliminación por parte de las autoridades.

La actividad maliciosa ha sido atribuida a un grupo conocido como SuccessKey, que ha mostrado indicios de actividad desde el 27 de febrero de 2026. Durante este tiempo, se activaron carteras de criptomonedas relacionadas con ViteVenom. Los paquetes comprometidos, que fueron publicados entre el 29 de junio y el 3 de julio de 2026, incluyen: - @uw010010/vite-tree (1070 descargas) - @vite-tab/tab (289 descargas) - @vite-ln/build-ts (252 descargas) - @vite-mcp/vite-type (239 descargas) - @vite-pro/vite-ui (200 descargas) - @vitets/vite-ts (194 descargas) - @vite-ts/vite-ui (176 descargas)

A diferencia de los typosquats utilizados en la campaña ChainVeil, que se disfrazaban de bibliotecas para herramientas como Tailwind y Sass, ViteVenom emplea nombres de paquetes scoped que intentan imitar el espacio de nombres de @vitejs/, otorgando así una apariencia de legitimidad.

Mecanismo de ataque

Ambas campañas comparten un elemento común: la utilización de una infraestructura de nivel 2 para la entrega del RAT. Esto implica el uso de las mismas direcciones de carteras en Tron y cuentas en Aptos, que están vinculadas a la misma transacción en Binance Smart Chain que conduce al malware. El código malicioso se activa no en el momento de la instalación, sino en el de la importación, lo que limita la detección por parte de las herramientas de seguridad de los endpoints.

El proceso de ataque es complejo e incluye varios pasos: 1. Consultar la blockchain de Tron para obtener la última transacción de la cartera del atacante. 2. Decodificar y revertir el campo de datos de transacción para obtener un hash de transacción de BSC. 3. Consultar la transacción de BSC para extraer la carga útil cifrada. 4. Desencriptar la carga útil utilizando una clave codificada.

Gudimalla explica que los atacantes almacenan punteros de carga útil como datos de transacción en blockchains públicas en lugar de en nombres de dominio, lo que hace que la infraestructura sea casi imposible de neutralizar. En caso de que falle el método de recuperación de cargas útiles basado en Tron, el malware recurre a Aptos como respaldo.

Recomendaciones de seguridad

Se aconseja a los usuarios que hayan instalado estos paquetes que los eliminen de inmediato, auditen sus dependencias, roten todas las credenciales y busquen modificaciones no autorizadas en archivos como .bashrc, .zshrc y .profile.

Checkmarx también señala que las diferencias superficiales en los nombres de los paquetes, las cuentas de mantenimiento y las carteras de nivel 1, son indicativas de cómo un único operador puede compartmentalizar múltiples vías de distribución para limitar la exposición. Mantenerse informado y aplicar medidas de seguridad adecuadas es crucial para evitar caer en estas trampas maliciosas.

Fuente

Ver noticia original