Investigadores de ciberseguridad han descubierto un grupo de siete paquetes npm maliciosos dirigidos al ecosistema de herramientas frontend de Vite como parte de un ataque a la cadena de suministro de software.
La campaña de paquetes maliciosos, cuyo nombre en código ViteVenom por Checkmarx, marca una expansión de velo de cadenaque se observó utilizando una infraestructura de comando y control (C2) basada en blockchain de cuatro niveles “sin precedentes” que abarca Tron, Aptos y Binance Smart Chain para ofrecer un shell inverso con capacidad de troyano de acceso remoto (RAT), recolección de credenciales, exfiltración de archivos e inyección persistente de puerta trasera.
“Esta táctica hace que desactivar o destruir la infraestructura C2 sea extremadamente difícil”, dijo el investigador de Checkmarx Pavan Gudimalla en un análisis publicado el mes pasado. La actividad se ha atribuido a un actor de amenazas llamado SuccessKey, con evidencia de actividad maliciosa detectada ya el 27 de febrero de 2026, cuando se activaron las billeteras de criptomonedas vinculadas a ViteVenom.
Si bien los typosquats publicados en npm en relación con ChainVeil se hicieron pasar por bibliotecas para Tailwind, Sass, ORM y herramientas de limitación de velocidad, la última versión se centra específicamente en los desarrolladores que crean aplicaciones utilizando Vite JavaScript y la herramienta de compilación frontend.
La lista de paquetes identificados, publicada entre el 29 de junio y el 3 de julio de 2026, se encuentra a continuación:
- @uw010010/vite-tree (1070 descargas)
- @vite-tab/tab (289 Descargas)
- @vite-ln/build-ts (252 Descargas)
- @vite-mcp/vite-type (239 Descargas)
- @vite-pro/vite-ui (200 descargas)
- @vitets/vite-ts (194 Descargas)
- @vite-ts/vite-ui (176 descargas)
Otra diferencia crucial entre los dos grupos es que, a diferencia de los typosquats sin alcance de ChainVeil (por ejemplo, “rate-limit-flexible”), ViteVenom hace uso de nombres de paquetes con alcance en un intento de hacerse pasar por el espacio de nombres “@vitejs/*” y darle una apariencia de legitimidad.
El aspecto principal que une las dos campañas es el uso de infraestructura compartida de nivel 2, que se utiliza para entregar el RAT. Específicamente, esto involucra la misma billetera Tron y las direcciones de la cuenta Aptos, que apuntan a la misma transacción Binance Smart Chain (BSC) que conduce al malware.
Como en el caso de ChainVeil, el código malicioso no se ejecuta en el momento de la instalación sino en el momento de la importación, lo que tiene como consecuencia limitar las detecciones de seguridad de los terminales. Actúa como un cargador al llegar a la infraestructura blockchain para obtener la siguiente etapa:
- Consulta la cadena de bloques de Tron para conocer la última transacción de la billetera del atacante.
- Decodifica e invierte el campo de datos de la transacción para obtener un hash de transacción BSC.
- Consulta la transacción BSC para extraer la carga útil cifrada de su campo de entrada.
- Descifre la carga útil utilizando una clave codificada.
“El atacante almacena punteros de carga útil como datos de transacciones en cadenas de bloques públicas en lugar de nombres de dominio que pueden ser incautados, lo que hace que la infraestructura sea casi imposible de derribar”, explicó Gudimalla.
Si el método de recuperación de carga útil basado en Tron falla, el malware utiliza Aptos como respaldo. La carga útil, por su parte, consulta la cadena de bloques para recuperar la configuración C2 y un cargador de siguiente etapa responsable de lanzar la RAT. Al mismo tiempo, existe un mecanismo alternativo que recupera el RAT directamente del servidor C2 a través de HTTP, evitando por completo la cadena de bloques.
Se recomienda a los usuarios que hayan instalado los paquetes que los eliminen inmediatamente, auditen las dependencias, roten todas las credenciales y busquen modificaciones no autorizadas en los archivos .bashrc, .zshrc y .profile.
“Las diferencias a nivel superficial (diferentes nombres de paquetes, diferentes cuentas de mantenedor, diferentes billeteras de nivel 1, diferentes rutas de archivos maliciosos) son consistentes con cómo un solo operador compartimentaría múltiples pistas de distribución para limitar la exposición”, dijo Checkmarx.



