Malware NodeCordRAT

Analytici kybernetické bezpečnosti odhalili tři škodlivé balíčky npm navržené k distribuci dříve nezdokumentovaného trojského koně pro vzdálený přístup (RAT), který je nyní sledován jako NodeCordRAT. Tyto balíčky byly z registru npm odstraněny v listopadu 2025 a všechny byly publikovány účtem provozovaným pod jménem „wenmoonx“.

Identifikované škodlivé balíčky:

• bitcoin-main-lib (≈2 300 stažení)
• bitcoin-lib-js (≈193 stažení)
• bip40 (≈970 stažení)

Útočníci záměrně vybrali názvy, které se velmi podobají legitimním repozitářům ze známého ekosystému bitcoinjs, což je zjevný pokus oklamat vývojáře a zvýšit pravděpodobnost nechtěné instalace.

Řetězec infekce a doručení dat

K narušení bezpečnosti dochází při instalaci balíčku bitcoin-main-lib nebo bitcoin-lib-js. Oba balíčky obsahují soubor package.json, který definuje skript postinstall.cjs. Tento skript tiše načítá soubor bip40, který hostuje skutečný škodlivý kód.

Po spuštění bip40 nasadí finální datovou část: NodeCordRAT, plně funkčního trojského koně pro vzdálený přístup s vestavěnými funkcemi pro sběr dat.

Co je NodeCordRAT?

Název NodeCordRAT je odvozen od dvou základních konstrukčních řešení: npm jako mechanismus šíření a Discord jako platforma Command-and-Control (C2). Po instalaci malware otiskne otisky prstů napadeného systému a vygeneruje jedinečný identifikátor napříč hostiteli Windows, Linux a macOS.

Trojský kůň je schopen shromažďovat citlivé informace, včetně:

• Přihlašovací údaje k prohlížeči Google Chrome
• Tokeny API
• Tajemství kryptoměnové peněženky, jako jsou data MetaMask a seed fráze

Všechna shromážděná data jsou útočníkovi předávána zpět prostřednictvím infrastruktury Discordu.

Velení a řízení založené na Discordu

Místo spoléhání se na tradiční servery C2 používá NodeCordRAT pevně naprogramovaný server Discord a token k vytvoření skrytého komunikačního kanálu. Prostřednictvím tohoto kanálu mohou operátoři vydávat příkazy a přijímat ukradená data.

Mezi podporované příkazy útočníka patří:

• !run – Spustí libovolné příkazy shellu pomocí funkce exec v Node.js
• !screenshot – Pořiďte snímek obrazovky celé plochy a exportujte jej do souboru PNG
• !sendfile – Nahraje zadaný lokální soubor do Discord kanálu

Exfiltrace dat přes Discord API

Únik obsahu je řešen výhradně prostřednictvím REST API služby Discord. Pomocí vloženého tokenu malware odesílá ukradený obsah přímo do soukromého kanálu a připojuje soubory prostřednictvím koncového bodu:

/kanály/{id}/zprávy

Tento přístup umožňuje útočníkům kombinovat škodlivý provoz s legitimní aktivitou na Discordu, což ztěžuje detekci v prostředích, kde je Discord povolen.

Bezpečnostní důsledky

Tato kampaň zdůrazňuje pokračující zneužívání ekosystémů s otevřeným zdrojovým kódem a důvěryhodných platforem pro spolupráci. Maskováním za známé knihovny související s Bitcoinem a zneužitím skriptů po instalaci jako zbraně vytvořili útočníci cestu k infekci s nízkým třením, která je schopna zajistit multiplatformní RAT zaměřený na krádež přihlašovacích údajů a vzdálenou správu.

Pro vývojové týmy a bezpečnostní profesionály tento incident posiluje důležitost přísné kontroly závislostí, monitorování instalačních skriptů a detekce anomálií u odchozího provozu na spotřebitelské platformy, jako je Discord.