
7つのVite周辺のnpmタイポスクワッティングパッケージが、ブロックチェーンのトランザクションにコマンドアドレスを隠しており、ほぼ切断不可能なC2チャネルを形成している。
The Hacker News は2026年7月17日に、Vite(Webpackと競合するフロントエンドバンドラー)のエコシステムをタイポスクワッティングする7つの悪意のあるnpmパッケージの発見を報告しました。これらのパッケージは、RAT(リモートアクセストロイジャン)を提供し、その特徴はコマンドと制御のチャネルにあります。C2サーバーのアドレスはブロックチェーンのトランザクションにエンコードされており、コードにハードコードされていません。
npm installで、タイポスクワッティング(1文字多いまたは少ない)された正当なパッケージをインストールすること。パッケージの名前を厳密に確認せずにnpm installを行うフロントエンド開発者またはチーム。Viteは大規模に採用されており(React、Vue、Svelte、SolidJSはデフォルトで開発サーバーとして使用)、ターゲットとなる人口は非常に大きいです。CI/CDも第一線にあります:JenkinsやGitHub Actionsのランナーが1回でも悪意のあるパッケージを引っ張れば、ビルドチェーンが侵害される可能性があります。
ここでの真の問題はタイポスクワッティングではありません。これはnpmの初期から知られている技術で、定期的に観察されています。問題はブロックチェーンを介したC2です。具体的には:
攻撃者にとっての利点:トランザクションをシンクホールに取ることはできません。それは不変であり、分散しており、公開ブロックチェーン全体をブロックすることでのみ検閲できます。C2ドメインのホスティングプロバイダーやレジストラによるテイクダウンは終わりです。この技術は絶対的には新しくありません(2018年からBitcoinで変種が存在していますが)、実際にはまれであり、npmでの出現はサプライチェーンアクターの継続的なプロフェッショナル化を示しています。
防御側では、npmの侵害に対するパラダイムは同じです:監査、依存関係のロック、インストールスクリプトのレビュー。
package-lock.jsonの監査:過去30日間にインストールされたパッケージを検索し、公式のViteリスト(vitejs.dev)と名前を比較します。疑わしい名前(エキゾチックな大文字、アンダースコア、ホモグリフ)→ 疑い。npm config set ignore-scripts trueを設定(ユーザビリティのトレードオフですが、セキュリティの大幅な向上)。公開ブロックチェーン上のC2はほぼ不滅:取得するレジストラはなく、連絡するホスティングプロバイダーはなく、取り下げる司法管轄区はありません。防御はチェーンの上部に移動する必要があります:開発者のポストとCI。
タイポスクワッティングされた7つのパッケージの正確な名前、C2に使用されたブロックチェーン、RATのファミリー、およびnpmによる削除前のダウンロードの規模は、引用されたソースで詳しく説明されていません。SocketまたはGitHub Securityのアドバイザリが公開され次第、更新します。
本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。