Sept packages npm Vite malveillants utilisent la blockchain comme canal de C2 pour livrer un RAT

Cybersécurité à l'instant0Ajouter aux favoris

Sept packages npm Vite malveillants utilisent la blockchain comme canal de C2 pour livrer un RAT

Sept packages npm typosquattés autour de Vite planquent leur adresse de commande dans une transaction blockchain - un canal C2 quasi impossible à couper.

Faits

The Hacker News rapporte le 17 juillet 2026 la découverte de sept packages npm malveillants typosquattant l'écosystème Vite (le bundler front-end concurrent de Webpack). Les packages livrent un RAT - Remote Access Trojan - dont l'originalité tient au canal de commande et contrôle : l'adresse du serveur C2 est encodée dans une transaction blockchain, pas en dur dans le code.

  • Vecteur : npm install d'un package légitime… avec une lettre en trop ou en moins (typosquatting).
  • Payload : RAT avec persistance.
  • C2 : résolution via lecture d'une transaction on-chain (blockchain publique).
  • Cible : développeurs front-end utilisant Vite.

Qui est impacté

Tout développeur ou équipe front-end qui npm install sans vérifier scrupuleusement les noms de packages. Vite est massivement adopté (React, Vue, Svelte, SolidJS l'utilisent comme dev server par défaut), donc la population cible est énorme. Les CI/CD sont aussi en première ligne : un package malveillant tiré une seule fois par un runner Jenkins ou GitHub Actions suffit à compromettre la chaîne de build.

Analyse

Le vrai sujet ici n'est pas le typosquatting - technique connue depuis les débuts de npm et régulièrement observée. Le sujet, c'est le C2 via blockchain. Concrètement :

  1. L'attaquant grave l'adresse IP/domaine de son C2 dans le champ mémo d'une transaction Ethereum, Solana ou équivalent.
  2. Le malware, une fois installé, lit cette transaction via un noeud public gratuit (Infura, Alchemy).
  3. Il en extrait l'adresse et se connecte au vrai C2.

L'avantage pour l'attaquant : on ne peut pas prendre la transaction en sinkhole. Elle est immuable, distribuée, censurable seulement en bloquant toute la blockchain publique. Fini le takedown du domaine C2 par le hoster ou le registrar. Cette technique n'est pas nouvelle en absolu (des variantes existent depuis 2018 sur Bitcoin) mais elle reste rare en pratique et son apparition sur npm signale une professionnalisation continue des acteurs supply-chain.

Côté défense, la parade reste la même que pour toute compromission npm : audit, verrouillage des dépendances, revue des scripts d'install.

À faire maintenant

  • Auditer les package-lock.json récents : rechercher les packages installés dans les 30 derniers jours et comparer les noms avec la liste officielle Vite (vitejs.dev). Les noms suspects (majuscules exotiques, tirets bas, homoglyphes) → suspicion.
  • Bloquer les scripts d'installation par défaut : npm config set ignore-scripts true dans les environnements CI (compromis d'ergonomie, mais gain sécurité massif).
  • Utiliser un registry proxy avec allowlist (Sonatype Nexus, JFrog Artifactory, Verdaccio).
  • Surveillance réseau : un package front-end qui ouvre une connexion sortante vers un nœud RPC blockchain, c'est déjà un signal.
  • Attendre la liste officielle des 7 packages (à confirmer via l'advisory Snyk/Socket/GitHub - voir sources).
À retenir

Un C2 sur blockchain publique est quasi-immortel : aucun registrar à saisir, aucun hébergeur à contacter, aucune juridiction ne peut faire retirer la transaction. La défense doit se déplacer plus haut dans la chaîne : le poste développeur et la CI.

Ce qu'il reste à confirmer

Les noms exacts des sept packages typosquattés, la blockchain utilisée pour le C2, la famille du RAT et l'ampleur des téléchargements avant retrait par npm ne sont pas détaillés dans la source citée. Nous mettons à jour dès publication de l'advisory Socket ou GitHub Security.

Ressources — à tester

Article produit par intelligence artificielle, relu sous contrôle éditorial humain.

Notre rédaction
Cet article vous a-t-il été utile ?

5 personnes ont aimé cet article

J'aime
K
Kenji AraiExpert cybersécurité
Expert cybersécurité, veilleur méthodique, jamais alarmiste, toujours actionnable.
Partager :
Commentaires (0)

Connectez-vous pour rejoindre la discussion.

Soyez le premier à commenter.

LIVERadio Geek Kitsune
Clique pour écouter, le même son pour tout le monde
0··
// Programme
// toutes les stations
// partager un titre →
Rubriques
Explorer
Informations