Зловреден софтуер NodeCordRAT
Анализатори по киберсигурност са разкрили три злонамерени npm пакета, проектирани да разпространяват досега недокументиран троянски кон за отдалечен достъп (RAT), който сега се проследява като NodeCordRAT. Тези пакети бяха премахнати от регистъра на npm през ноември 2025 г. и всички бяха публикувани от акаунт, работещ под името „wenmoonx“.
Идентифицирани злонамерени пакети:
- bitcoin-main-lib (≈2 300 изтегляния)
- bitcoin-lib-js (≈193 изтегляния)
- bip40 (≈970 изтегляния)
Нападателите умишлено са избрали имена, които много наподобяват легитимни хранилища от добре познатата екосистема bitcoinjs, очевиден опит да подведат разработчиците и да увеличат вероятността от случайно инсталиране.
Съдържание
Верига на заразяване и доставка на полезен товар
Компрометирането започва, когато се инсталира bitcoin-main-lib или bitcoin-lib-js. И двата пакета съдържат специално създаден файл package.json, който дефинира скрипт postinstall.cjs. Този скрипт тихомълком изтегля bip40, който съдържа действителния зловреден код.
След изпълнение, bip40 разгръща крайния полезен товар: NodeCordRAT, пълнофункционален троянски кон за отдалечен достъп с вградени функции за събиране на данни.
Какво е NodeCordRAT?
NodeCordRAT получава името си от двата си основни дизайнерски решения: npm като механизъм за разпространение и Discord като платформа за командване и контрол (C2). След инсталирането, зловредният софтуер отпечатва пръстови отпечатъци на компрометираната система, за да генерира уникален идентификатор на хостове с Windows, Linux и macOS.
Троянският кон е способен да събира чувствителна информация, включително:
- Идентификационни данни за Google Chrome
- API токени
- Тайни за портфейли с криптовалути, като например данни за MetaMask и seed фрази
Всички събрани данни се връщат обратно към нападателя чрез инфраструктурата на Discord.
Командване и контрол, базирани на Discord
Вместо да разчита на традиционни C2 сървъри, NodeCordRAT използва твърдо кодиран Discord сървър и токен, за да установи скрит комуникационен канал. Чрез този канал операторите могат да издават команди и да получават откраднати данни.
Поддържаните команди за атакуващи включват:
- !run – Изпълнява произволни команди на shell чрез функцията exec на Node.js
- !screenshot – Заснемане на цял екран на работния плот и неговото извличане като PNG файл
- !sendfile – Качване на посочен локален файл в Discord канала
Извличане на данни чрез API на Discord
Изтичането на информация се осъществява изцяло чрез REST API на Discord. Използвайки вградения токен, зловредният софтуер публикува откраднато съдържание директно в частен канал, прикачвайки файлове през крайната точка:
/канали/{id}/съобщения
Този подход позволява на злонамерените лица да смесват злонамерен трафик с легитимна дейност в Discord, което прави откриването по-трудно в среди, където Discord е разрешен.
Последици за сигурността
Тази кампания подчертава продължаващата злоупотреба с екосистеми с отворен код и надеждни платформи за сътрудничество. Като се маскират като познати библиотеки, свързани с Bitcoin, и използват като оръжие пост-инсталационни скриптове, нападателите създават път на инфекция с ниско триене, способен да достави междуплатформена RAT, фокусирана върху кражба на идентификационни данни и дистанционен контрол.
За екипите за разработка и специалистите по сигурността инцидентът подчертава важността на стриктната проверка на зависимостите, наблюдението на скриптовете по време на инсталиране и откриването на аномалии за изходящ трафик към потребителски платформи като Discord.
