Κακόβουλο λογισμικό NodeCordRAT
Αναλυτές κυβερνοασφάλειας αποκάλυψαν τρία κακόβουλα πακέτα npm που σχεδιάστηκαν για να διανείμουν ένα προηγουμένως μη καταγεγραμμένο trojan απομακρυσμένης πρόσβασης (RAT) που τώρα εντοπίζεται ως NodeCordRAT. Αυτά τα πακέτα αφαιρέθηκαν από το μητρώο npm τον Νοέμβριο του 2025 και όλα δημοσιεύθηκαν από έναν λογαριασμό που λειτουργεί με το όνομα «wenmoonx».
Εντοπισμένα κακόβουλα πακέτα:
- bitcoin-main-lib (≈2.300 λήψεις)
- bitcoin-lib-js (≈193 λήψεις)
- bip40 (≈970 λήψεις)
Οι επιτιθέμενοι επέλεξαν σκόπιμα ονόματα που μοιάζουν πολύ με νόμιμα αποθετήρια από το γνωστό οικοσύστημα bitcoinjs, σε μια προφανή προσπάθεια παραπλάνησης των προγραμματιστών και αύξησης της πιθανότητας τυχαίας εγκατάστασης.
Πίνακας περιεχομένων
Αλυσίδα μόλυνσης και μεταφορά ωφέλιμου φορτίου
Η παραβίαση ξεκινά όταν εγκαθίσταται είτε το bitcoin-main-lib είτε το bitcoin-lib-js. Και τα δύο πακέτα περιέχουν ένα δημιουργημένο αρχείο package.json που ορίζει ένα σενάριο postinstall.cjs. Αυτό το σενάριο εισάγει σιωπηλά το bip40, το οποίο φιλοξενεί τον πραγματικό κακόβουλο κώδικα.
Μόλις εκτελεστεί, το bip40 αναπτύσσει το τελικό ωφέλιμο φορτίο: NodeCordRAT, ένα πλήρως εξοπλισμένο trojan απομακρυσμένης πρόσβασης με ενσωματωμένες λειτουργίες συλλογής δεδομένων.
Τι είναι το NodeCordRAT;
Το NodeCordRAT οφείλει το όνομά του στις δύο βασικές επιλογές σχεδιασμού του: το npm ως μηχανισμό διάδοσης και το Discord ως πλατφόρμα Command-and-Control (C2). Μετά την εγκατάσταση, το κακόβουλο λογισμικό αποτυπώνει το παραβιασμένο σύστημα για να δημιουργήσει ένα μοναδικό αναγνωριστικό σε όλους τους κεντρικούς υπολογιστές Windows, Linux και macOS.
Το trojan είναι ικανό να συλλέγει ευαίσθητες πληροφορίες, όπως:
- Διαπιστευτήρια Google Chrome
- διακριτικά API
- Μυστικά πορτοφολιού κρυπτονομισμάτων, όπως δεδομένα MetaMask και φράσεις seed
Όλα τα δεδομένα που συλλέγονται διοχετεύονται πίσω στον εισβολέα μέσω της υποδομής του Discord.
Διοίκηση και έλεγχος βασισμένη στο Discord
Αντί να βασίζεται σε παραδοσιακούς διακομιστές C2, το NodeCordRAT χρησιμοποιεί έναν ενσωματωμένο διακομιστή και διακριτικό Discord για να δημιουργήσει ένα μυστικό κανάλι επικοινωνίας. Μέσω αυτού του καναλιού, οι χειριστές μπορούν να εκδίδουν εντολές και να λαμβάνουν κλεμμένα δεδομένα.
Οι υποστηριζόμενες εντολές εισβολέα περιλαμβάνουν:
- !run – Εκτέλεση αυθαίρετων εντολών shell μέσω της συνάρτησης exec του Node.js
- !screenshot – Λήψη πλήρους στιγμιότυπου οθόνης επιφάνειας εργασίας και εξαγωγή του ως αρχείο PNG
- !sendfile – Μεταφόρτωση ενός συγκεκριμένου τοπικού αρχείου στο κανάλι Discord
Εξόρυξη Δεδομένων μέσω του API του Discord
Η εξαγωγή γίνεται εξ ολοκλήρου μέσω του REST API του Discord. Χρησιμοποιώντας το ενσωματωμένο διακριτικό, το κακόβουλο λογισμικό δημοσιεύει κλεμμένο περιεχόμενο απευθείας σε ένα ιδιωτικό κανάλι, επισυνάπτοντας αρχεία μέσω του τελικού σημείου:
/κανάλια/{id}/μηνύματα
Αυτή η προσέγγιση επιτρέπει στους απειλητικούς παράγοντες να συνδυάζουν κακόβουλη κίνηση με νόμιμη δραστηριότητα του Discord, καθιστώντας την ανίχνευση πιο δύσκολη σε περιβάλλοντα όπου επιτρέπεται το Discord.
Επιπτώσεις στην ασφάλεια
Αυτή η καμπάνια υπογραμμίζει τη συνεχιζόμενη κατάχρηση οικοσυστημάτων ανοιχτού κώδικα και αξιόπιστων πλατφορμών συνεργασίας. Μεταμφιεσμένοι σε γνωστές βιβλιοθήκες που σχετίζονται με το Bitcoin και χρησιμοποιώντας ως όπλα τα σενάρια μετά την εγκατάσταση, οι εισβολείς δημιούργησαν μια διαδρομή μόλυνσης χαμηλής τριβής ικανή να παρέχει ένα cross-platform RAT επικεντρωμένο στην κλοπή διαπιστευτηρίων και τον τηλεχειρισμό.
Για τις ομάδες ανάπτυξης και τους επαγγελματίες ασφαλείας, το περιστατικό ενισχύει τη σημασία του αυστηρού ελέγχου εξαρτήσεων, της παρακολούθησης των σεναρίων κατά τον χρόνο εγκατάστασης και της ανίχνευσης ανωμαλιών για την εξερχόμενη κίνηση σε πλατφόρμες καταναλωτών όπως το Discord.
