NodeCordRAT Malware

সাইবার নিরাপত্তা বিশ্লেষকরা তিনটি ক্ষতিকারক npm প্যাকেজ আবিষ্কার করেছেন যা পূর্বে নথিভুক্ত না থাকা রিমোট অ্যাক্সেস ট্রোজান (RAT) বিতরণের জন্য তৈরি করা হয়েছিল, যা এখন NodeCordRAT হিসাবে ট্র্যাক করা হয়েছে। এই প্যাকেজগুলি 2025 সালের নভেম্বরে npm রেজিস্ট্রি থেকে সরানো হয়েছিল এবং 'wenmoonx' নামে পরিচালিত একটি অ্যাকাউন্ট দ্বারা প্রকাশিত হয়েছিল।

চিহ্নিত ক্ষতিকারক প্যাকেজ:

• বিটকয়েন-মেইন-লিব (≈২,৩০০ ডাউনলোড)
• বিটকয়েন-লিব-জেএস (≈১৯৩ ডাউনলোড)
• bip40 (≈970 ডাউনলোড)

আক্রমণকারীরা ইচ্ছাকৃতভাবে এমন নাম নির্বাচন করেছে যা সুপরিচিত বিটকয়েনজেএস ইকোসিস্টেম থেকে বৈধ সংগ্রহস্থলের সাথে সাদৃশ্যপূর্ণ, যা ডেভেলপারদের বিভ্রান্ত করার এবং দুর্ঘটনাজনিত ইনস্টলেশনের সম্ভাবনা বাড়ানোর একটি স্পষ্ট প্রচেষ্টা।

সংক্রমণ শৃঙ্খল এবং পেলোড ডেলিভারি

বিটকয়েন-মেইন-লিব অথবা বিটকয়েন-লিব-জেএস ইনস্টল করার পর আপস শুরু হয়। উভয় প্যাকেজেই একটি তৈরি package.json ফাইল রয়েছে যা একটি postinstall.cjs স্ক্রিপ্ট সংজ্ঞায়িত করে। এই স্ক্রিপ্টটি নীরবে bip40 টেনে আনে, যা প্রকৃত ক্ষতিকারক কোড হোস্ট করে।

একবার কার্যকর করা হলে, bip40 চূড়ান্ত পেলোড স্থাপন করে: NodeCordRAT, একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত রিমোট অ্যাক্সেস ট্রোজান যা বিল্ট-ইন ডেটা-হার্ভেস্টিং ফাংশন সহ।

NodeCordRAT কি?

NodeCordRAT এর নামকরণ করা হয়েছে এর দুটি মূল ডিজাইন পছন্দ থেকে: npm এর প্রচার প্রক্রিয়া এবং Discord এর কমান্ড-এন্ড-কন্ট্রোল (C2) প্ল্যাটফর্ম। ইনস্টলেশনের পরে, ম্যালওয়্যারটি উইন্ডোজ, লিনাক্স এবং ম্যাকওএস হোস্টগুলিতে একটি অনন্য শনাক্তকারী তৈরি করতে আপোস করা সিস্টেমের আঙুলের ছাপ দেয়।

ট্রোজান সংবেদনশীল তথ্য সংগ্রহ করতে সক্ষম, যার মধ্যে রয়েছে:

• গুগল ক্রোম শংসাপত্র
• API টোকেন
• ক্রিপ্টোকারেন্সি ওয়ালেটের গোপন তথ্য, যেমন মেটামাস্ক ডেটা এবং মূল বাক্যাংশ

সমস্ত সংগৃহীত তথ্য ডিসকর্ডের পরিকাঠামোর মাধ্যমে আক্রমণকারীর কাছে ফেরত পাঠানো হয়।

ডিসকর্ড-ভিত্তিক কমান্ড এবং নিয়ন্ত্রণ

ঐতিহ্যবাহী C2 সার্ভারের উপর নির্ভর করার পরিবর্তে, NodeCordRAT একটি হার্ড-কোডেড ডিসকর্ড সার্ভার এবং টোকেন ব্যবহার করে একটি গোপন যোগাযোগ চ্যানেল স্থাপন করে। এই চ্যানেলের মাধ্যমে, অপারেটররা কমান্ড জারি করতে এবং চুরি করা ডেটা গ্রহণ করতে পারে।

সমর্থিত আক্রমণকারী কমান্ডগুলির মধ্যে রয়েছে:

• !run – Node.js এর exec ফাংশনের মাধ্যমে নির্বিচারে শেল কমান্ড কার্যকর করুন
• !স্ক্রিনশট – একটি সম্পূর্ণ ডেস্কটপ স্ক্রিনশট ক্যাপচার করুন এবং এটিকে PNG ফাইল হিসেবে এক্সফিল্ট্রেট করুন
• !sendfile – ডিসকর্ড চ্যানেলে একটি নির্দিষ্ট স্থানীয় ফাইল আপলোড করুন।

ডিসকর্ডের API এর মাধ্যমে ডেটা এক্সফিল্ট্রেশন

এক্সফিল্ট্রেশন সম্পূর্ণরূপে ডিসকর্ডের REST API এর মাধ্যমে পরিচালিত হয়। এমবেডেড টোকেন ব্যবহার করে, ম্যালওয়্যার চুরি করা সামগ্রী সরাসরি একটি ব্যক্তিগত চ্যানেলে পোস্ট করে, এন্ডপয়েন্টের মাধ্যমে ফাইল সংযুক্ত করে:

/চ্যানেল/{আইডি}/বার্তা

এই পদ্ধতির মাধ্যমে হুমকিদাতারা বৈধ ডিসকর্ড কার্যকলাপের সাথে ক্ষতিকারক ট্র্যাফিক মিশ্রিত করতে পারে, যার ফলে ডিসকর্ড অনুমোদিত পরিবেশে সনাক্তকরণ আরও চ্যালেঞ্জিং হয়ে ওঠে।

নিরাপত্তার প্রভাব

এই প্রচারণাটি ওপেন-সোর্স ইকোসিস্টেম এবং বিশ্বস্ত সহযোগিতা প্ল্যাটফর্মের ক্রমাগত অপব্যবহারকে তুলে ধরে। পরিচিত বিটকয়েন-সম্পর্কিত লাইব্রেরি হিসেবে নিজেকে উপস্থাপন করে এবং ইনস্টল-পরবর্তী স্ক্রিপ্টগুলিকে অস্ত্র হিসেবে ব্যবহার করে, আক্রমণকারীরা একটি কম-ঘর্ষণ সংক্রমণের পথ তৈরি করেছে যা ক্রস-প্ল্যাটফর্ম RAT প্রদান করতে সক্ষম যা ক্রস-প্ল্যাটফর্ম RAT প্রদান করে এর উপর ভিত্তি করে তৈরি।

ডেভেলপমেন্ট টিম এবং নিরাপত্তা পেশাদারদের জন্য, এই ঘটনাটি ডিসকর্ডের মতো ভোক্তা প্ল্যাটফর্মে বহির্গামী ট্র্যাফিকের জন্য কঠোর নির্ভরতা যাচাই, ইনস্টল-সময় স্ক্রিপ্টগুলির পর্যবেক্ষণ এবং অসঙ্গতি সনাক্তকরণের গুরুত্বকে আরও জোরদার করে।