Vite

Pacotes maliciosos atacam ecossistema Vite em campanha de malware

Pesquisadores de cibersegurança identificaram uma campanha de ataque à cadeia de suprimentos de software, chamada ViteVenom, que envolve sete pacotes npm maliciosos direcionados ao ecossistema de ferramentas frontend Vite. Essa campanha é uma extensão do ChainVeil, que utiliza uma infraestrutura de comando e controle (C2) baseada em blockchain, tornando a desativação da mesma extremamente difícil. Os pacotes maliciosos, que se disfarçam como bibliotecas legítimas, foram publicados entre 29 de junho e 3 de julho de 2026, e incluem nomes como @uw010010/vite-tree e @vite-tab/tab. A principal técnica utilizada é a execução do código malicioso não na instalação, mas no momento da importação, o que dificulta a detecção por sistemas de segurança. Os pesquisadores recomendam que os usuários que instalaram esses pacotes removam-nos imediatamente, auditem suas dependências e troquem todas as credenciais. A campanha é atribuída a um ator de ameaças conhecido como SuccessKey, com atividades detectadas desde fevereiro de 2026.