Sieben bösartige npm-Pakete von Vite nutzen die Blockchain als C2-Kanal, um einen RAT zu liefern

Cybersicherheit just now0Zu Lesezeichen hinzufügen

Sieben bösartige npm-Pakete von Vite nutzen die Blockchain als C2-Kanal, um einen RAT zu liefern

Sieben npm-Typosquatting-Pakete rund um Vite verstecken ihre Befehlsadresse in einer Blockchain-Transaktion - einen C2-Kanal, der fast unmöglich zu kappen ist.

Fakten

The Hacker News berichtet am 17. Juli 2026 über die Entdeckung von sieben schädlichen npm-Paketen, die den Vite-Ökosystem (den Frontend-Bundler, der mit Webpack konkurriert) typosquatten. Die Pakete liefern einen RAT - Remote Access Trojan - dessen Besonderheit im Command-and-Control-Kanal liegt: Die Adresse des C2-Servers ist in einer Blockchain-Transaktion codiert, nicht hart im Code.

  • Vektor: npm install eines legitimen Pakets... mit einem Buchstaben zu viel oder zu wenig (Typosquatting).
  • Payload: RAT mit Persistenz.
  • C2: Auflösung durch Lesen einer On-Chain-Transaktion (öffentliche Blockchain).
  • Ziel: Frontend-Entwickler, die Vite verwenden.

Wer ist betroffen

Jeder Entwickler oder jedes Frontend-Team, das npm install durchführt, ohne die Paketnamen sorgfältig zu überprüfen. Vite wird massiv übernommen (React, Vue, Svelte, SolidJS verwenden es als Standard-Dev-Server), daher ist die Zielgruppe enorm. CI/CD-Pipelines sind ebenfalls in erster Linie betroffen: Ein einmaliges Herunterladen eines schädlichen Pakets durch einen Jenkins- oder GitHub-Actions-Runner reicht aus, um die Build-Kette zu kompromittieren.

Analyse

Das eigentliche Thema hier ist nicht das Typosquatting - eine Technik, die seit den Anfängen von npm bekannt ist und regelmäßig beobachtet wird. Das Thema ist der C2 über Blockchain. Konkret:

  1. Der Angreifer graviert die IP-Adresse/Domäne seines C2 in das Memo-Feld einer Ethereum-, Solana- oder äquivalenten Transaktion.
  2. Der Malware, einmal installiert, liest diese Transaktion über einen kostenlosen öffentlichen Knoten (Infura, Alchemy).
  3. Er extrahiert die Adresse und verbindet sich mit dem echten C2.

Der Vorteil für den Angreifer: Man kann die Transaktion nicht in einen Sinkhole nehmen. Sie ist unveränderlich, verteilt und kann nur durch Blockieren der gesamten öffentlichen Blockchain zensiert werden. Kein Abbau der C2-Domäne durch den Hosting-Anbieter oder den Registrar mehr. Diese Technik ist nicht absolut neu (Variationen existieren seit 2018 auf Bitcoin), aber sie bleibt in der Praxis selten und ihr Auftreten auf npm signalisiert eine kontinuierliche Professionalisierung der Supply-Chain-Akteure.

Auf der Verteidigungsseite bleibt die Parade dieselbe wie bei jeder npm-Kompromittierung: Audit, Verriegelung der Abhängigkeiten, Überprüfung der Installationsskripte.

Was jetzt zu tun ist

  • Auditieren der letzten package-lock.json: Suche nach Paketen, die in den letzten 30 Tagen installiert wurden, und vergleiche die Namen mit der offiziellen Vite-Liste (vitejs.dev). Verdächtige Namen (exotische Großbuchstaben, Unterstriche, Homoglyphe) → Verdacht.
  • Standard-Installationsskripte blockieren: npm config set ignore-scripts true in CI-Umgebungen (ergonomischer Kompromiss, aber massiver Sicherheitsgewinn).
  • Ein Proxy-Registry mit Allowlist verwenden (Sonatype Nexus, JFrog Artifactory, Verdaccio).
  • Netzwerküberwachung: Ein Frontend-Paket, das eine ausgehende Verbindung zu einem Blockchain-RPC-Knoten öffnet, ist bereits ein Signal.
  • Warten auf die offizielle Liste der 7 Pakete (zu bestätigen über den Advisory von Snyk/Socket/GitHub - siehe Quellen).
Zu beachten

Ein C2 auf einer öffentlichen Blockchain ist quasi unsterblich: Kein Registrar zu kontaktieren, kein Hosting-Anbieter zu kontaktieren, keine Jurisdiktion kann die Transaktion entfernen lassen. Die Verteidigung muss höher in der Kette agieren: Der Entwicklerarbeitsplatz und die CI.

Was noch zu bestätigen bleibt

Die genauen Namen der sieben typosquatteten Pakete, die Blockchain, die für den C2 verwendet wird, die Familie des RAT und das Ausmaß der Downloads vor dem Rückzug durch npm sind in der zitierten Quelle nicht detailliert beschrieben. Wir aktualisieren, sobald der Advisory von Socket oder GitHub Security veröffentlicht wird.

Resources

Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.

Unsere Redaktion
War dieser Artikel hilfreich?

5 Personen gefiel dieser Artikel

Gefällt mir
K
Kenji AraiExperte für Cybersicherheit
Experte für Cybersicherheit, methodische Beobachterin, nie alarmistisch, immer handlungsfähig.
Teilen:
Kommentare (0)

Melden Sie sich an, um an der Diskussion teilzunehmen.

Soyez le premier à commenter.

LIVERadio Geek Kitsune
Tippen zum Hören – für alle derselbe Sound
0··
// Programm
// all stations
// Track teilen →
Themen
Erkunden
Informationen