Cybersicherheit 1 h ago0Zu Lesezeichen hinzufügen

Sieben npm-Typosquatting-Pakete rund um Vite verstecken ihre Befehlsadresse in einer Blockchain-Transaktion - einen C2-Kanal, der fast unmöglich zu kappen ist.
The Hacker News berichtet am 17. Juli 2026 über die Entdeckung von sieben schädlichen npm-Paketen, die den Vite-Ökosystem (den Frontend-Bundler, der mit Webpack konkurriert) typosquatten. Die Pakete liefern einen RAT - Remote Access Trojan - dessen Besonderheit im Command-and-Control-Kanal liegt: Die Adresse des C2-Servers ist in einer Blockchain-Transaktion codiert, nicht hart im Code.
npm install eines legitimen Pakets... mit einem Buchstaben zu viel oder zu wenig (Typosquatting).Jeder Entwickler oder jedes Frontend-Team, das npm install durchführt, ohne die Paketnamen sorgfältig zu überprüfen. Vite wird massiv übernommen (React, Vue, Svelte, SolidJS verwenden es als Standard-Dev-Server), daher ist die Zielgruppe enorm. CI/CD-Pipelines sind ebenfalls in erster Linie betroffen: Ein einmaliges Herunterladen eines schädlichen Pakets durch einen Jenkins- oder GitHub-Actions-Runner reicht aus, um die Build-Kette zu kompromittieren.
Das eigentliche Thema hier ist nicht das Typosquatting - eine Technik, die seit den Anfängen von npm bekannt ist und regelmäßig beobachtet wird. Das Thema ist der C2 über Blockchain. Konkret:
Der Vorteil für den Angreifer: Man kann die Transaktion nicht in einen Sinkhole nehmen. Sie ist unveränderlich, verteilt und kann nur durch Blockieren der gesamten öffentlichen Blockchain zensiert werden. Kein Abbau der C2-Domäne durch den Hosting-Anbieter oder den Registrar mehr. Diese Technik ist nicht absolut neu (Variationen existieren seit 2018 auf Bitcoin), aber sie bleibt in der Praxis selten und ihr Auftreten auf npm signalisiert eine kontinuierliche Professionalisierung der Supply-Chain-Akteure.
Auf der Verteidigungsseite bleibt die Parade dieselbe wie bei jeder npm-Kompromittierung: Audit, Verriegelung der Abhängigkeiten, Überprüfung der Installationsskripte.
package-lock.json: Suche nach Paketen, die in den letzten 30 Tagen installiert wurden, und vergleiche die Namen mit der offiziellen Vite-Liste (vitejs.dev). Verdächtige Namen (exotische Großbuchstaben, Unterstriche, Homoglyphe) → Verdacht.npm config set ignore-scripts true in CI-Umgebungen (ergonomischer Kompromiss, aber massiver Sicherheitsgewinn).Ein C2 auf einer öffentlichen Blockchain ist quasi unsterblich: Kein Registrar zu kontaktieren, kein Hosting-Anbieter zu kontaktieren, keine Jurisdiktion kann die Transaktion entfernen lassen. Die Verteidigung muss höher in der Kette agieren: Der Entwicklerarbeitsplatz und die CI.
Die genauen Namen der sieben typosquatteten Pakete, die Blockchain, die für den C2 verwendet wird, die Familie des RAT und das Ausmaß der Downloads vor dem Rückzug durch npm sind in der zitierten Quelle nicht detailliert beschrieben. Wir aktualisieren, sobald der Advisory von Socket oder GitHub Security veröffentlicht wird.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
Soyez le premier à commenter.