برنامج NodeCordRAT الخبيث
كشف محللو الأمن السيبراني عن ثلاث حزم برمجية خبيثة من نوع npm، مصممة لتوزيع برنامج حصان طروادة للوصول عن بُعد (RAT) غير موثق سابقًا، والذي يُعرف الآن باسم NodeCordRAT. وقد أُزيلت هذه الحزم من سجل npm في نوفمبر 2025، ونُشرت جميعها بواسطة حساب يعمل تحت اسم "wenmoonx".
تم تحديد حزم البرامج الضارة التالية:
- bitcoin-main-lib (≈2300 عملية تنزيل)
- bitcoin-lib-js (≈193 تنزيلًا)
- bip40 (≈970 تنزيلًا)
لقد اختار المهاجمون عن عمد أسماء تشبه إلى حد كبير المستودعات الشرعية من نظام bitcoinjs البيئي المعروف، في محاولة واضحة لتضليل المطورين وزيادة احتمالية التثبيت العرضي.
جدول المحتويات
سلسلة العدوى وتوصيل الحمولة
يبدأ الاختراق عند تثبيت إحدى الحزمتين bitcoin-main-lib أو bitcoin-lib-js. تحتوي كلتا الحزمتين على ملف package.json مُصمّم خصيصًا يُعرّف سكربت postinstall.cjs. يقوم هذا السكربت باستدعاء bip40 بصمت، والذي يحتوي على الشيفرة الخبيثة الفعلية.
بمجرد تنفيذه، يقوم bip40 بنشر الحمولة النهائية: NodeCordRAT، وهو حصان طروادة للوصول عن بعد كامل الميزات مع وظائف مدمجة لجمع البيانات.
ما هو NodeCordRAT؟
يستمد برنامج NodeCordRAT اسمه من عنصرين أساسيين في تصميمه: npm كآلية انتشاره، وDiscord كمنصة للتحكم والسيطرة. بعد التثبيت، يقوم البرنامج الخبيث بتحليل النظام المخترق لإنشاء مُعرّف فريد على أنظمة Windows وLinux وmacOS.
يستطيع هذا البرنامج الخبيث جمع معلومات حساسة، بما في ذلك:
- بيانات اعتماد جوجل كروم
- رموز API
- أسرار محافظ العملات المشفرة، مثل بيانات MetaMask وعبارات الاسترداد
يتم توجيه جميع البيانات التي تم جمعها مرة أخرى إلى المهاجم عبر بنية Discord التحتية.
القيادة والتحكم عبر ديسكورد
بدلاً من الاعتماد على خوادم التحكم والسيطرة التقليدية، يستخدم برنامج NodeCordRAT خادم Discord ورمزًا مدمجين في البرنامج لإنشاء قناة اتصال سرية. ومن خلال هذه القناة، يستطيع المشغلون إصدار الأوامر واستلام البيانات المسروقة.
تشمل أوامر المهاجم المدعومة ما يلي:
- !run – تنفيذ أوامر shell عشوائية عبر دالة exec في Node.js
- !screenshot – التقاط لقطة شاشة كاملة لسطح المكتب وحفظها كملف PNG
- !sendfile – تحميل ملف محلي محدد إلى قناة Discord
تسريب البيانات عبر واجهة برمجة تطبيقات ديسكورد
تتم عملية تسريب البيانات بالكامل عبر واجهة برمجة تطبيقات REST الخاصة بـ Discord. باستخدام الرمز المميز المضمن، ينشر البرنامج الخبيث المحتوى المسروق مباشرةً إلى قناة خاصة، مع إرفاق الملفات عبر نقطة النهاية التالية:
/channels/{id}/messages
يسمح هذا النهج للجهات الفاعلة في مجال التهديدات بدمج حركة المرور الضارة مع نشاط Discord المشروع، مما يجعل اكتشافها أكثر صعوبة في البيئات التي يُسمح فيها باستخدام Discord.
الآثار الأمنية
تُسلط هذه الحملة الضوء على استمرار إساءة استخدام أنظمة المصادر المفتوحة ومنصات التعاون الموثوقة. فمن خلال انتحال صفة مكتبات مألوفة متعلقة ببيتكوين واستخدام برامج نصية تُثبّت بعد التثبيت كسلاح، ابتكر المهاجمون مسارًا سهلًا للاختراق قادرًا على إيصال برنامج تجسس متعدد المنصات يركز على سرقة بيانات الاعتماد والتحكم عن بُعد.
بالنسبة لفرق التطوير والمتخصصين في مجال الأمن، يؤكد هذا الحادث على أهمية التدقيق الصارم في التبعيات، ومراقبة البرامج النصية أثناء التثبيت، واكتشاف الحالات الشاذة لحركة المرور الصادرة إلى منصات المستهلكين مثل Discord.
