قیمت چند مجوز تخفیف
پایگاه داده تهدید ابزارهای مدیریت از راه دور بدافزار NodeCordRAT

بدافزار NodeCordRAT

تا Mezo در ابزارهای مدیریت از راه دور
ترجمه به:

تحلیلگران امنیت سایبری سه بسته مخرب npm را کشف کرده‌اند که برای توزیع یک تروجان دسترسی از راه دور (RAT) که قبلاً مستند نشده بود و اکنون با نام NodeCordRAT ردیابی می‌شود، مهندسی شده‌اند. این بسته‌ها در نوامبر ۲۰۲۵ از رجیستری npm حذف شدند و همگی توسط حسابی با نام «wenmoonx» منتشر شدند.

بسته‌های مخرب شناسایی شده:

  • کتابخانه اصلی بیت‌کوین (≈۲۳۰۰ دانلود)
  • bitcoin-lib-js (≈۱۹۳ دانلود)
  • bip40 (≈۹۷۰ دانلود)

مهاجمان عمداً نام‌هایی را انتخاب کردند که شباهت زیادی به مخازن قانونی از اکوسیستم شناخته‌شده‌ی bitcoinjs دارند، که ظاهراً تلاشی برای گمراه کردن توسعه‌دهندگان و افزایش احتمال نصب تصادفی است.

زنجیره عفونت و تحویل بار داده

این نفوذ زمانی آغاز می‌شود که bitcoin-main-lib یا bitcoin-lib-js نصب شوند. هر دو بسته حاوی یک فایل package.json دستکاری‌شده هستند که اسکریپت postinstall.cjs را تعریف می‌کند. این اسکریپت بی‌سروصدا bip40 را که میزبان کد مخرب واقعی است، دریافت می‌کند.

پس از اجرا، bip40 آخرین payload را مستقر می‌کند: NodeCordRAT، یک تروجان دسترسی از راه دور با امکانات کامل و توابع جمع‌آوری داده داخلی.

NodeCordRAT چیست؟

نام NodeCordRAT از دو انتخاب اصلی طراحی آن گرفته شده است: npm به عنوان مکانیزم انتشار و Discord به عنوان پلتفرم فرماندهی و کنترل (C2). پس از نصب، این بدافزار سیستم آسیب‌دیده را انگشت‌نگاری می‌کند تا یک شناسه منحصر به فرد در میزبان‌های ویندوز، لینوکس و macOS ایجاد کند.

این تروجان قادر به جمع‌آوری اطلاعات حساس از جمله موارد زیر است:

  • اعتبارنامه‌های گوگل کروم
  • توکن‌های API
  • اسرار کیف پول ارزهای دیجیتال، مانند داده‌های متامسک و عبارات بازیابی

تمام داده‌های جمع‌آوری‌شده از طریق زیرساخت Discord به مهاجم بازگردانده می‌شوند.

فرماندهی و کنترل مبتنی بر دیسکورد

NodeCordRAT به جای تکیه بر سرورهای سنتی C2، از یک سرور Discord با کدنویسی ثابت و توکن برای ایجاد یک کانال ارتباطی مخفی استفاده می‌کند. از طریق این کانال، اپراتورها می‌توانند دستوراتی را صادر کرده و داده‌های سرقت شده را دریافت کنند.

دستورات مهاجم پشتیبانی‌شده عبارتند از:

  • !run – اجرای دستورات دلخواه shell از طریق تابع exec در Node.js
  • ‎!screenshot – گرفتن اسکرین‌شات کامل از دسکتاپ و استخراج آن به صورت فایل PNG
  • !sendfile – یک فایل محلی مشخص شده را در کانال Discord آپلود کنید.

استخراج داده‌ها از طریق API دیسکورد

استخراج اطلاعات کاملاً از طریق REST API دیسکورد انجام می‌شود. با استفاده از توکن تعبیه‌شده، بدافزار محتوای دزدیده‌شده را مستقیماً به یک کانال خصوصی ارسال می‌کند و فایل‌ها را از طریق نقطه پایانی پیوست می‌کند:

/channels/{id}/messages

این رویکرد به عاملان تهدید اجازه می‌دهد تا ترافیک مخرب را با فعالیت مشروع Discord ترکیب کنند و تشخیص را در محیط‌هایی که Discord مجاز است، چالش‌برانگیزتر کنند.

پیامدهای امنیتی

این کمپین، سوءاستفاده‌ی مداوم از اکوسیستم‌های متن‌باز و پلتفرم‌های همکاری مورد اعتماد را برجسته می‌کند. مهاجمان با جا زدن خود به عنوان کتابخانه‌های آشنای مرتبط با بیت‌کوین و استفاده از اسکریپت‌های پس از نصب به عنوان سلاح، یک مسیر آلودگی کم‌خطر ایجاد کردند که قادر به ارائه یک RAT چند پلتفرمی با تمرکز بر سرقت اطلاعات کاربری و کنترل از راه دور است.

برای تیم‌های توسعه و متخصصان امنیت، این حادثه اهمیت بررسی دقیق وابستگی‌ها، نظارت بر اسکریپت‌های زمان نصب و تشخیص ناهنجاری برای ترافیک خروجی به پلتفرم‌های مصرفی مانند Discord را تقویت می‌کند.

پرطرفدار

Securedwebsearch.com

وب سایت های سرکش, ربایندگان مرورگر, برنامه های بالقوه ناخواسته
کاملاً حیاتی است که کاربران از دستگاه‌های خود در برابر PUPهای (برنامه‌های بالقوه ناخواسته) مزاحم و غیرقابل اعتماد محافظت کنند. این برنامه‌ها اغلب بی‌ضرر به نظر می‌رسند، اما اغلب به گونه‌ای عمل...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
27,335
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...