Vite Ecosisteminde Yeni Bir Tehdit: ViteVenom
Ciber güvenlik araştırmacıları, yazılım tedarik zinciri saldırıları kapsamında Vite frontend araçları ekosistemini hedef alan yedi kötü niyetli npm paketi keşfetti. ViteVenom olarak adlandırılan bu kampanya, ChainVeil saldırısının bir uzantısı olarak görülüyor ve bu durum, yazılım güvenliği açısından büyük bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Kötü niyetli paketler, bir komut ve kontrol (C2) altyapısı olarak Tron, Aptos ve Binance Smart Chain üzerinde dört katmanlı bir blockchain kullanıyor. Bu yapı, uzaktan erişim trojanı (RAT) ve kalıcı arka kapılar ile birlikte kimlik bilgisi toplama ve dosya dışa çıkartma gibi yöntemleri içeriyor. Checkmarx araştırmacısı Pavan Gudimalla’nın belirttiği üzere, bu zorluklar, C2 altyapısını devre dışı bırakmayı oldukça güçleştiriyor.
Etkilenen Sistemler
ViteVenom, özellikle aşağıdaki paketleri hedef alıyor:
- @uw010010/vite-tree (1070 İndirme)
- @vite-tab/tab (289 İndirme)
- @vite-ln/build-ts (252 İndirme)
- @vite-mcp/vite-type (239 İndirme)
- @vite-pro/vite-ui (200 İndirme)
- @vitets/vite-ts (194 İndirme)
- @vite-ts/vite-ui (176 İndirme)
Bu paketler, başka kötü niyetli projelerden farklı olarak “@vitejs/*” uzantılı alan adları kullanarak meşruiyet kazanma çabası içinde bulunuyor.
Veri Çalmanın Yolu
Kötü niyetli yazılım, kurulum anında değil, içe aktarma zamanında devreye giriyor. Bu durum, güvenlik sistemlerinin algılama yeteneklerini sınırlıyor. İşleyiş süreci ise şu adımları içeriyor:
- Tron blockchain’den saldırganın cüzdanından en son işlemi sorgulamak.
- İşlem verilerini tersine çevirerek BSC işlem hash’ini elde etmek.
- BSC işleminden şifreli yükü çıkartmak.
- Yükü sabit kodlu bir anahtar kullanarak deşifre etmek.
Çözüm ve Korunma
Kullanıcılar, bu paketleri derhal kaldırmalı, bağımlılıkları denetlemeli, tüm kimlik bilgilerini değiştirmeli ve .bashrc, .zshrc ile .profile dosyalarında yetkisiz değişiklikler aramalıdır. Checkmarx, çeşitli dağıtım izlerinin gizliliğini korumak amacıyla her bir izni ayrı ayrı düzenleyen tek bir operatörün tutumunu ortaya koyduğunu belirtiyor.
Aksiyon
Okuyucuların bu tehditten korunmak için yapması gerekenler:
- Paketlerinizi derhal kaldırın.
- Bağımlılıkları gözden geçirin ve güncelleyin.
- Tüm kimlik bilgilerinizi değiştirin.
- Sistem dosyalarınızı kontrol edin ve yetkisiz değişikliklere karşı dikkatli olun.


