Siber güvenlik araştırmacıları, Vite ön uç geliştirme aracını hedef alan yedi kötü amaçlı npm paketi tespit etti. Checkmarx tarafından ViteVenom kod adı verilen bu kampanya, yazılım tedarik zinciri saldırısının bir parçası olarak değerlendiriliyor. Kampanya, daha önce tespit edilen ChainVeil'in bir uzantısı olarak görülüyor ve Tron, Aptos ile Binance Smart Chain üzerinde dört katmanlı blockchain tabanlı bir komuta ve kontrol (C2) altyapısı kullanıyor. Bu altyapı, ters kabuk, kimlik bilgisi toplama, dosya sızdırma ve kalıcı arka kapı enjeksiyonu yapabilen bir uzaktan erişim truva atı (RAT) dağıtıyor.
Checkmarx araştırmacısı Pavan Gudimalla, bu taktiğin C2 altyapısını devre dışı bırakmayı veya yok etmeyi son derece zorlaştırdığını belirtti. Saldırı, SuccessKey adlı bir tehdit aktörüne atfedilirken, kötü amaçlı aktiviteler 27 Şubat 2026'ya kadar uzanıyor. ViteVenom ile bağlantılı kripto para cüzdanlarının o tarihte etkinleştirildiği görülüyor. ChainVeil'de Tailwind, Sass, ORM ve hız sınırlama araçları gibi kütüphaneleri taklit eden türkçe yazım (typosquatting) paketleri kullanılırken, ViteVenom doğrudan Vite kullanan geliştiricilere odaklanıyor.
Tespit edilen paketler arasında @uw010010/vite-tree (1070 indirme), @vite-tab/tab (289 indirme), @vite-ln/build-ts (252 indirme), @vite-mcp/vite-type (239 indirme), @vite-pro/vite-ui (200 indirme), @vitets/vite-ts (194 indirme) ve @vite-ts/vite-ui (176 indirme) yer alıyor. Bu paketler 29 Haziran ile 3 Temmuz 2026 tarihleri arasında yayınlanmış. ChainVeil'den farklı olarak ViteVenom, kapsamlı (scoped) paket isimleri kullanarak @vitejs/* ad alanını taklit ediyor ve meşruiyet görüntüsü veriyor.
Uzmanların Görüşleri
İki kampanyayı birleştiren ana unsur, RAT'ı dağıtmak için kullanılan paylaşılan ikinci katman altyapısıdır. Özellikle, aynı Tron cüzdanı ve Aptos hesap adresleri kullanılıyor ve bu adresler, kötü amaçlı yazılıma yönlendiren aynı Binance Smart Chain (BSC) işlemine işaret ediyor. ChainVeil'de olduğu gibi, kötü amaçlı kod kurulum sırasında değil, içe aktarma (import) anında çalışıyor. Bu, uç nokta güvenlik algılamalarını sınırlıyor.
Kötü amaçlı yazılım, bir yükleyici (loader) olarak çalışıyor ve sonraki aşamayı elde etmek için blockchain altyapısına bağlanıyor. Süreç şöyle işliyor: Önce Tron blockchain'inden saldırganın cüzdanındaki son işlem sorgulanıyor. Ardından işlem veri alanı çözülüp tersine çevrilerek bir BSC işlem hash'i elde ediliyor. Daha sonra BSC işlemi sorgulanarak şifrelenmiş yük, girdi alanından çıkarılıyor. Son olarak, sabit kodlanmış bir anahtar kullanılarak yükün şifresi çözülüyor. Gudimalla, saldırganın yük işaretçilerini, ele geçirilebilecek alan adları yerine genel blockchain'lerde işlem verisi olarak sakladığını, bunun da altyapıyı neredeyse yok edilemez hale getirdiğini belirtti.
Nasıl Önlem Alınmalı?
Tron tabanlı yük alma yöntemi başarısız olursa, kötü amaçlı yazılım yedek olarak Aptos'u kullanıyor. Yük, blockchain'den C2 yapılandırmasını ve RAT'ı başlatmak için bir sonraki aşama yükleyiciyi alıyor. Ayrıca, blockchain'i tamamen atlayarak RAT'ı doğrudan C2 sunucusundan HTTP üzerinden alan bir yedek mekanizma da bulunuyor. Kullanıcıların bu paketleri hemen kaldırmaları, bağımlılıkları denetlemeleri, tüm kimlik bilgilerini değiştirmeleri ve .bashrc, .zshrc ile .profile dosyalarında yetkisiz değişiklik olup olmadığını kontrol etmeleri öneriliyor. Checkmarx, farklı paket isimleri, bakıcı hesapları ve dosya yollarının, tek bir operatörün maruziyeti sınırlamak için farklı dağıtım kanallarını nasıl bölümlere ayırdığını gösterdiğini ifade etti.
Kaynak: thehackernews.com