Rabattilbud med flere licenser
Trusseldatabase Fjernadministrationsværktøjer NodeCordRAT-malware

NodeCordRAT-malware

Med Mezo i Fjernadministrationsværktøjer
Oversæt til:

Cybersikkerhedsanalytikere har afdækket tre ondsindede npm-pakker, der var udviklet til at distribuere en tidligere udokumenteret fjernadgangstrojan (RAT), der nu spores som NodeCordRAT. Disse pakker blev fjernet fra npm-registret i november 2025 og blev alle udgivet af en konto, der opererede under navnet 'wenmoonx'.

Identificerede skadelige pakker:

  • bitcoin-main-lib (≈2.300 downloads)
  • bitcoin-lib-js (≈193 downloads)
  • bip40 (≈970 downloads)

Angriberne valgte bevidst navne, der minder meget om legitime repositories fra det velkendte bitcoinjs-økosystem, et tilsyneladende forsøg på at vildlede udviklere og øge sandsynligheden for utilsigtet installation.

Infektionskæde og levering af nyttelast

Kompromitteringen begynder, når enten bitcoin-main-lib eller bitcoin-lib-js installeres. Begge pakker indeholder en specialdesignet package.json-fil, der definerer et postinstall.cjs-script. Dette script henter lydløst bip40, som er vært for den faktiske skadelige kode.

Når den er udført, implementerer bip40 den endelige nyttelast: NodeCordRAT, en fuldt udstyret fjernadgangstrojan med indbyggede dataindsamlingsfunktioner.

Hvad er NodeCordRAT?

NodeCordRAT har fået sit navn fra sine to centrale designvalg: npm som sin udbredelsesmekanisme og Discord som sin Command-and-Control (C2) platform. Efter installationen bruger malwaren fingeraftryk fra det kompromitterede system for at generere en unik identifikator på tværs af Windows-, Linux- og macOS-værter.

Trojaneren er i stand til at indsamle følsomme oplysninger, herunder:

  • Google Chrome-loginoplysninger
  • API-tokens
  • Hemmeligheder for kryptovaluta-wallets, såsom MetaMask-data og seed-fraser

Alle indsamlede data kanaliseres tilbage til angriberen via Discords infrastruktur.

Discord-baseret kommando og kontrol

I stedet for at stole på traditionelle C2-servere bruger NodeCordRAT en hardcodet Discord-server og token til at etablere en hemmelig kommunikationskanal. Gennem denne kanal kan operatører udstede kommandoer og modtage stjålne data.

Understøttede angriberkommandoer inkluderer:

  • !run – Udfør vilkårlige shell-kommandoer via Node.js' exec-funktion
  • !screenshot – Tag et fuldt skærmbillede af skrivebordet og filtrer det som en PNG-fil
  • !sendfile – Upload en bestemt lokal fil til Discord-kanalen

Dataudvinding via Discords API

Eksfiltrering håndteres udelukkende via Discords REST API. Ved hjælp af den integrerede token poster malwaren stjålet indhold direkte til en privat kanal og vedhæfter filer via endpointen:

/kanaler/{id}/beskeder

Denne tilgang gør det muligt for trusselsaktører at blande ondsindet trafik med legitim Discord-aktivitet, hvilket gør detektion mere udfordrende i miljøer, hvor Discord er tilladt.

Sikkerhedsmæssige konsekvenser

Denne kampagne fremhæver det fortsatte misbrug af open source-økosystemer og pålidelige samarbejdsplatforme. Ved at udgive sig for at være velkendte Bitcoin-relaterede biblioteker og bruge post-installation-scripts som våben, skabte angriberne en lavfriktionsinfektionsvej, der er i stand til at levere en RAT på tværs af platforme med fokus på tyveri af legitimationsoplysninger og fjernbetjening.

For udviklingsteams og sikkerhedsprofessionelle understreger hændelsen vigtigheden af streng afhængighedskontrol, overvågning af scripts under installation og anomalidetektion for udgående trafik til forbrugerplatforme som Discord.

Trending

Mest sete

Indlæser...