Nach Angaben von Checkmarx richtet sich die aktuelle Welle ausdrücklich gegen Entwickler, die Anwendungen mit dem JavaScript- und Frontend-Build-Werkzeug Vite erstellen. Während die im Zusammenhang mit ChainVeil veröffentlichten Typosquatting-Pakete noch als Bibliotheken für Tailwind, Sass, ORM- und Rate-Limiting-Werkzeuge auftraten, konzentriert sich ViteVenom nun auf das Umfeld von Vite.
Ein wesentlicher Unterschied liegt dabei in der Benennung der Pakete. Anders als die nicht scopen Typosquatting-Pakete von ChainVeil, etwa „rate-limit-flexible“, verwendet ViteVenom laut Checkmarx Scoped-Paketnamen. Damit soll offenbar der Namensraum „@vitejs/*“ imitiert und zusätzliche Glaubwürdigkeit erzeugt werden. Die identifizierten Pakete wurden laut Quelle zwischen dem 29. Juni und dem 3. Juli 2026 auf npm veröffentlicht.
Technisch verbindet beide Kampagnen vor allem ihre gemeinsame Infrastruktur der zweiten Stufe, über die der RAT ausgeliefert wird. Checkmarx zufolge kommen dabei dieselbe Tron-Wallet und dieselben Aptos-Kontoadressen zum Einsatz. Diese verweisen auf dieselbe Transaktion in der Binance Smart Chain, die letztlich zur Schadsoftware führt.
Wie schon bei ChainVeil wird der schädliche Code nicht während der Installation aktiv, sondern erst beim Import. Nach Darstellung von Checkmarx fungiert der Code zunächst als Loader, der die Blockchain-Infrastruktur kontaktiert, um die nächste Stufe abzurufen. Pavan Gudimalla von Checkmarx erklärte, der Angreifer speichere Verweise auf die Nutzlast als Transaktionsdaten in öffentlichen Blockchains statt auf beschlagnahmbaren Domainnamen. Das mache die Infrastruktur nahezu unmöglich abzuschalten.
Schlägt die auf Tron basierende Methode zum Abruf der Nutzlast fehl, weicht die Schadsoftware auf Aptos als Ausweichkanal aus. Die Nutzlast selbst fragt anschließend die Blockchain ab, um die C2-Konfiguration sowie einen weiteren Loader zu erhalten, der den RAT startet. Zusätzlich existiert laut Checkmarx ein Fallback-Mechanismus, der den RAT direkt per HTTP vom C2-Server abruft und die Blockchain vollständig umgeht.
Bereits im vergangenen Monat hatte Checkmarx die über ChainVeil eingesetzte vierstufige C2-Infrastruktur als „beispiellos“ beschrieben. Diese erstreckt sich über Tron, Aptos und Binance Smart Chain. Laut Gudimalla macht diese Taktik das Deaktivieren oder Zerstören der C2-Infrastruktur äußerst schwierig.
Checkmarx sieht trotz oberflächlicher Unterschiede klare Zusammenhänge zwischen den Aktivitäten. Unterschiede bei Paketnamen, Maintainer-Konten, Wallets der ersten Stufe und Pfaden zu den schädlichen Dateien seien mit der Arbeitsweise eines einzelnen Operators vereinbar, der mehrere Verbreitungswege voneinander trennt, um die eigene Entdeckung zu begrenzen.
Nutzer, die eines der Pakete installiert haben, sollten diese laut Checkmarx sofort entfernen, Abhängigkeiten prüfen, alle Zugangsdaten austauschen und nach unautorisierten Änderungen an den Dateien .bashrc, .zshrc und .profile suchen.
