«Denne taktikken gjør det ekstremt vanskelig å slå ut eller ødelegge C2-infrastrukturen», sier Checkmarx-forsker Pavan Gudimalla i en analyse omtalt av The Hacker News. Kampanjen, døpt ViteVenom, retter seg spesifikt mot utviklere som bygger med byggeverktøyet Vite, og bruker scopede pakkenavn for å etterligne det ekte «@vitejs/*»-navnerommet og se legitimt ut.
De sju pakkene ble publisert mellom 29. juni og 3. juli og lastet ned til sammen over 2 400 ganger. I stedet for å legge nyttelasten på et domene som kan beslaglegges, lagrer angriperen pekere til den som transaksjonsdata på Tron-, Aptos- og Binance Smart Chain-blokkjedene. Koden kjører ikke ved installasjon, men ved import, noe som begrenser hva endepunktsikkerhet fanger opp. RAT-en gir omvendt shell, tyveri av innloggingsdata, fil-eksfiltrering og en vedvarende bakdør.
Aktøren, sporet som SuccessKey, har vært aktiv siden 27. februar 2026. Faller Tron-metoden bort, bytter skadevaren til Aptos, og som siste utvei hentes RAT-en rett fra en C2-server over HTTP, helt utenom blokkjeden. Kampanjen er en utvidelse av den tidligere ChainVeil-operasjonen, som brukte samme Tron-lommebok og Aptos-konto.
Hva bør du gjøre?
- Har du installert @uw010010/vite-tree, @vite-tab/tab, @vite-ln/build-ts, @vite-mcp/vite-type, @vite-pro/vite-ui, @vitets/vite-ts eller @vite-ts/vite-ui, fjern dem umiddelbart.
- Roter alle innloggingsdata, gjennomgå avhengighetene og se etter uautoriserte endringer i .bashrc, .zshrc og .profile.