
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ataki na łańcuch dostaw oprogramowania należą dziś do najgroźniejszych zagrożeń dla zespołów tworzących aplikacje. Najnowsza kampania wymierzona w ekosystem Vite pokazuje, że cyberprzestępcy coraz sprawniej łączą typosquatting, złośliwe pakiety npm oraz rozproszoną infrastrukturę command-and-control opartą na publicznych blockchainach.
Taki model działania znacząco utrudnia wykrywanie incydentu, analizę próbki i blokowanie komunikacji z serwerami sterującymi. W praktyce oznacza to, że zwykłe mechanizmy bezpieczeństwa skoncentrowane na instalacji zależności mogą okazać się niewystarczające.
W skrócie
Badacze bezpieczeństwa zidentyfikowali siedem złośliwych pakietów npm podszywających się pod biblioteki powiązane z Vite. Kampania określana jako ViteVenom wykorzystuje wielowarstwową infrastrukturę C2 opartą na sieciach Tron, Aptos i Binance Smart Chain.
Celem operacji jest dostarczenie trojana zdalnego dostępu, który może realizować reverse shell, kraść poświadczenia, eksfiltrować pliki oraz utrwalać obecność w środowisku deweloperskim. Kluczową cechą ataku jest to, że złośliwy kod uruchamia się dopiero podczas importu pakietu, a nie w chwili jego instalacji.
- Siedem złośliwych pakietów npm wymierzonych w użytkowników Vite
- Wykorzystanie blockchaina jako warstwy pośredniej dla infrastruktury C2
- Aktywacja malware przy imporcie modułu, nie przy instalacji
- Możliwość kradzieży sekretów, plików i poświadczeń deweloperskich
Kontekst / historia
Kampania stanowi rozwinięcie wcześniejszych działań przypisywanych operacji znanej jako ChainVeil. W poprzednich odsłonach atakujący publikowali złośliwe pakiety w rejestrze npm, podszywając się pod narzędzia i biblioteki używane w popularnych projektach JavaScript.
Nowa fala aktywności koncentruje się na środowisku Vite, szeroko stosowanym w nowoczesnym frontendzie. Opublikowane pakiety pojawiły się między 29 czerwca a 3 lipca 2026 roku, a ich nazewnictwo zostało przygotowane tak, by przypominało legalne scoped packages powiązane z prawdziwym ekosystemem.
To istotna zmiana taktyki. Napastnicy nie ograniczają się już wyłącznie do prostego podobieństwa nazw, ale próbują również imitować strukturę namespace’ów kojarzonych z oficjalnymi wydawcami, co zwiększa wiarygodność fałszywych bibliotek.
Analiza techniczna
Technicznie ViteVenom opiera się na wieloetapowym loaderze. Złośliwy pakiet nie uruchamia pełnego ładunku od razu po pobraniu. Zamiast tego aktywuje się dopiero po zaimportowaniu modułu do projektu, co ogranicza szansę na wykrycie przez rozwiązania monitorujące jedynie etap instalacji.
Mechanizm działania rozpoczyna się od odpytania blockchaina Tron w celu pobrania najnowszej transakcji z portfela kontrolowanego przez operatora kampanii. Następnie malware dekoduje i odwraca pozyskane dane, aby uzyskać hash transakcji w Binance Smart Chain, z której pobierany jest zaszyfrowany payload ukryty w polu wejściowym.
Po pobraniu ładunek jest odszyfrowywany przy użyciu klucza osadzonego w kodzie. Jeżeli główna ścieżka zawiedzie, próbka wykorzystuje sieć Aptos jako kanał zapasowy. Po uzyskaniu kolejnego etapu malware pobiera konfigurację C2 oraz komponent odpowiedzialny za uruchomienie właściwego trojana zdalnego dostępu.
Zaobserwowano również tryb awaryjny pozwalający na pobranie malware bezpośrednio z serwera HTTP, z pominięciem warstwy blockchainowej. Taki projekt zwiększa odporność kampanii na zakłócenia i utrudnia działania obronne oparte wyłącznie na blokowaniu domen, adresów IP lub pojedynczych wskaźników kompromitacji.
- Loader uruchamiany przy imporcie modułu
- Tron wykorzystywany do pobrania wskaźnika kolejnego etapu
- Binance Smart Chain jako nośnik zaszyfrowanego payloadu
- Aptos pełniący rolę kanału zapasowego
- Awaryjne pobranie malware przez HTTP
Konsekwencje / ryzyko
Najbardziej narażeni są deweloperzy oraz organizacje automatycznie pobierające zależności z npm bez rygorystycznej weryfikacji pochodzenia pakietów. Kompromitacja stacji roboczej programisty może doprowadzić do przejęcia tokenów dostępowych, kluczy API, sekretów CI/CD, danych z menedżerów haseł oraz plików projektowych.
Ryzyko nie kończy się jednak na jednym hoście. Przejęte poświadczenia mogą umożliwić dalszą penetrację repozytoriów kodu, środowisk chmurowych, rejestrów kontenerów i systemów wdrożeniowych. W najgorszym scenariuszu incydent może doprowadzić do skażenia własnych artefaktów organizacji i publikacji złośliwych buildów.
Dodatkowym problemem jest utrwalenie dostępu poprzez modyfikację plików startowych powłoki, takich jak .bashrc, .zshrc czy .profile. Taki mechanizm może zapewnić malware przetrwanie restartu sesji i utrudnić pełne usunięcie infekcji bez dokładnej analizy środowiska.
Rekomendacje
Organizacje korzystające z Vite i npm powinny niezwłocznie sprawdzić, czy podejrzane pakiety były obecne w projektach, cache menedżera pakietów lub na stacjach deweloperskich. W przypadku wykrycia instalacji należy usunąć zainfekowane zależności, przeanalizować pełne drzewo pakietów i odtworzyć środowisko z zaufanych źródeł.
Konieczna jest także rotacja wszystkich poświadczeń, które mogły znajdować się na dotkniętym systemie. Obejmuje to tokeny npm, dane dostępu do repozytoriów Git, sekrety CI/CD, klucze chmurowe, poświadczenia do rejestrów kontenerów oraz inne sekrety aplikacyjne.
- Weryfikacja obecności podejrzanych pakietów w projektach i cache
- Rotacja wszystkich sekretów dostępnych na zainfekowanej stacji
- Kontrola plików .bashrc, .zshrc, .profile i mechanizmów autostartu
- Pinowanie wersji oraz ścisła kontrola lockfile
- Skanowanie zależności pod kątem typosquattingu i anomalii namespace
- Monitorowanie procesów Node.js po imporcie modułów
- Kontrola ruchu wychodzącego do nietypowych usług i endpointów blockchain
- Separacja środowisk deweloperskich od krytycznych sekretów produkcyjnych
- Podpisywanie i weryfikacja artefaktów w pipeline’ach
Z perspektywy SOC i DFIR taki incydent należy traktować jako potencjalne przejęcie konta deweloperskiego, a nie wyłącznie pojedynczą infekcję pakietem. Wymaga to szerszego dochodzenia, obejmującego analizę dostępu do repozytoriów, chmury oraz systemów automatyzacji budowania.
Podsumowanie
ViteVenom pokazuje, że ataki na ekosystem open source osiągają nowy poziom dojrzałości operacyjnej. Połączenie typosquattingu, fałszywych scoped packages oraz blockchainowej infrastruktury C2 znacząco zwiększa odporność kampanii na wykrycie i zakłócenie.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że monitoring powinien obejmować nie tylko etap instalacji zależności, ale również zachowanie modułów po imporcie oraz ochronę stacji deweloperskich jako zasobów o wysokiej wartości. Skuteczna obrona wymaga połączenia kontroli łańcucha dostaw, telemetrii endpointów i rygorystycznego zarządzania sekretami.
Źródła
- Seven Malicious Vite npm Packages Use Blockchain C2 to Deliver a RAT — https://thehackernews.com/2026/07/seven-malicious-vite-npm-packages-use.html