NodeCordRAT pahavara
Küberturvalisuse analüütikud on avastanud kolm pahatahtlikku npm-paketti, mis on loodud levitama varem dokumenteerimata kaugjuurdepääsuga troojat (RAT), mida nüüd jälgitakse kui NodeCordRAT. Need paketid eemaldati npm-i registrist 2025. aasta novembris ja need kõik avaldas konto, mis tegutseb nime 'wenmoonx' all.
Tuvastatud pahatahtlikud paketid:
- bitcoin-main-lib (≈2300 allalaadimist)
- bitcoin-lib-js (≈193 allalaadimist)
- bip40 (≈970 allalaadimist)
Ründajad valisid tahtlikult nimed, mis sarnanevad tuntud bitcoinjs ökosüsteemi legitiimsete repositooriumidega, mis on ilmne katse eksitada arendajaid ja suurendada juhusliku installimise tõenäosust.
Sisukord
Nakkusahel ja kasuliku koormuse kohaletoimetamine
Kompromiteerimine algab siis, kui installitakse kas bitcoin-main-lib või bitcoin-lib-js. Mõlemad paketid sisaldavad spetsiaalselt loodud package.json faili, mis defineerib postinstall.cjs skripti. See skript kasutab vaikselt bip40, mis majutab tegelikku pahatahtlikku koodi.
Pärast käivitamist juurutab bip40 lõpliku kasuliku koormuse: NodeCordRAT, täisfunktsionaalne kaugjuurdepääsu trooja, millel on sisseehitatud andmete kogumise funktsioonid.
Mis on NodeCordRAT?
NodeCordRAT on oma nime saanud kahest põhilisest disainivalikust: npm levimismehhanismina ja Discord juhtimisplatvormina. Pärast installimist loob pahavara ohustatud süsteemist sõrmejäljed, et genereerida Windowsi, Linuxi ja macOS-i hostarvutites unikaalne identifikaator.
Trooja on võimeline koguma tundlikku teavet, sealhulgas:
- Google Chrome'i mandaadid
- API märgid
- Krüptovaluuta rahakoti saladused, näiteks MetaMaski andmed ja seemnefraasid
Kõik kogutud andmed suunatakse Discordi infrastruktuuri kaudu ründajale tagasi.
Discord-põhine juhtimine ja kontroll
Traditsiooniliste C2 serverite asemel kasutab NodeCordRAT salajase sidekanali loomiseks kõvakodeeritud Discordi serverit ja tokenit. Selle kanali kaudu saavad operaatorid anda käske ja vastu võtta varastatud andmeid.
Toetatud ründaja käsud on järgmised:
- !run – Käivita suvalisi shelli käske Node.js'i exec funktsiooni kaudu
- !ekraanipilt – Jäädvusta terve töölaua ekraanipilt ja konverteeri see PNG-failina
- !sendfile – Laadi määratud kohalik fail Discordi kanalile üles
Andmete väljavool Discordi API kaudu
Eksfiltratsioon toimub täielikult Discordi REST API kaudu. Kasutades manustatud tokenit, postitab pahavara varastatud sisu otse privaatkanalile, manustades faile lõpp-punkti kaudu:
/kanalid/{id}/sõnumid
See lähenemisviis võimaldab ohutegelastel segada pahatahtlikku liiklust seadusliku Discord-tegevusega, muutes tuvastamise keerulisemaks keskkondades, kus Discord on lubatud.
Turvalisusega seotud tagajärjed
See kampaania toob esile avatud lähtekoodiga ökosüsteemide ja usaldusväärsete koostööplatvormide jätkuva kuritarvitamise. Maskeerides end tuttavateks Bitcoiniga seotud teekideks ja muutes installijärgsed skriptid relvaks, lõid ründajad väikese hõõrdumisega nakatumistee, mis oli võimeline edastama platvormideüleseid RAT-rünnakuid, mis keskenduvad volituste vargusele ja kaugjuhtimisele.
Arendusmeeskondade ja turvaspetsialistide jaoks rõhutab see intsident range sõltuvuste kontrollimise, installimisaegsete skriptide jälgimise ja tarbijaplatvormidele, näiteks Discord, suunduva liikluse anomaaliate tuvastamise olulisust.
