Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Eines d'administració remota Programari maliciós NodeCordRAT

Programari maliciós NodeCordRAT

El Mezo el Eines d'administració remota
Traduir a:

Analistes de ciberseguretat han descobert tres paquets npm maliciosos dissenyats per distribuir un troià d'accés remot (RAT) anteriorment no documentat i que ara es rastreja com a NodeCordRAT. Aquests paquets es van eliminar del registre npm el novembre de 2025 i tots van ser publicats per un compte que operava amb el nom de "wenmoonx".

Paquets maliciosos identificats:

  • bitcoin-main-lib (≈2.300 descàrregues)
  • bitcoin-lib-js (≈193 descàrregues)
  • bip40 (≈970 descàrregues)

Els atacants van seleccionar deliberadament noms que s'assemblen molt als repositoris legítims del conegut ecosistema bitcoinjs, un intent aparent d'enganyar els desenvolupadors i augmentar la probabilitat d'una instal·lació accidental.

Cadena d’infecció i lliurament de càrrega útil

El compromís comença quan s'instal·la bitcoin-main-lib o bitcoin-lib-js. Tots dos paquets contenen un fitxer package.json creat que defineix un script postinstall.cjs. Aquest script extreu silenciosament bip40, que allotja el codi maliciós real.

Un cop executat, bip40 desplega la càrrega útil final: NodeCordRAT, un troià d'accés remot amb totes les funcions de recopilació de dades integrades.

Què és NodeCordRAT?

NodeCordRAT deriva el seu nom de les seves dues eleccions de disseny principals: npm com a mecanisme de propagació i Discord com a plataforma de comandament i control (C2). Després de la instal·lació, el programari maliciós pren les empremtes digitals del sistema compromès per generar un identificador únic a través dels amfitrions Windows, Linux i macOS.

El troià és capaç de recopilar informació sensible, incloent:

  • Credencials de Google Chrome
  • Tokens d'API
  • Secrets de cartera de criptomonedes, com ara dades de MetaMask i frases inicials

Totes les dades recollides es canalitzen de tornada a l'atacant a través de la infraestructura de Discord.

Comandament i control basats en Discord

En lloc de confiar en els servidors C2 tradicionals, NodeCordRAT utilitza un servidor Discord codificat i un token per establir un canal de comunicacions encobert. A través d'aquest canal, els operadors poden emetre ordres i rebre dades robades.

Les ordres d'atacant compatibles inclouen:

  • !run – Executa ordres arbitràries de shell mitjançant la funció exec de Node.js
  • !screenshot – Captura una captura de pantalla completa de l'escriptori i exfiltra-la com a fitxer PNG
  • !sendfile – Puja un fitxer local especificat al canal de Discord

Exfiltració de dades a través de l’API de Discord

L'exfiltració es gestiona completament a través de l'API REST de Discord. Mitjançant el token incrustat, el programari maliciós publica contingut robat directament a un canal privat, adjuntant fitxers a través del punt final:

/canals/{id}/missatges

Aquest enfocament permet als actors amenaçadors barrejar trànsit maliciós amb activitat legítima de Discord, cosa que dificulta la detecció en entorns on es permet Discord.

Implicacions de seguretat

Aquesta campanya destaca l'abús continu dels ecosistemes de codi obert i les plataformes de col·laboració de confiança. En fer-se passar per biblioteques familiars relacionades amb Bitcoin i convertint-se en armes els scripts posteriors a la instal·lació, els atacants van crear una ruta d'infecció de baixa fricció capaç de proporcionar un RAT multiplataforma centrat en el robatori de credencials i el control remot.

Per als equips de desenvolupament i els professionals de la seguretat, l'incident reforça la importància d'una revisió estricta de les dependències, la supervisió dels scripts en temps d'instal·lació i la detecció d'anomalies per al trànsit sortint a plataformes de consum com ara Discord.

Tendència

Més vist

Carregant...