Monen lisenssin alennustarjous
Uhatietokanta Etähallintatyökalut NodeCordRAT-haittaohjelma

NodeCordRAT-haittaohjelma

Vuonna Mezo vuonna Etähallintatyökalut
Käännä:

Kyberturvallisuusanalyytikot ovat paljastaneet kolme haitallista npm-pakettia, jotka on suunniteltu levittämään aiemmin dokumentoimatonta etäkäyttötroijalaista (RAT), jota nyt seurataan nimellä NodeCordRAT. Nämä paketit poistettiin npm:n rekisteristä marraskuussa 2025, ja ne kaikki julkaisi tili, joka toimi nimellä 'wenmoonx'.

Tunnistetut haitalliset paketit:

  • bitcoin-main-lib (≈2 300 latausta)
  • bitcoin-lib-js (≈193 latausta)
  • bip40 (≈970 latausta)

Hyökkääjät valitsivat tarkoituksella nimiä, jotka muistuttavat läheisesti tunnetun bitcoinjs-ekosysteemin laillisia arkistoja. Kyseessä on ilmeinen yritys johtaa kehittäjiä harhaan ja lisätä vahingossa tapahtuvan asennuksen todennäköisyyttä.

Tartuntaketju ja hyötykuorman toimitus

Kompromisseeraus alkaa, kun joko bitcoin-main-lib tai bitcoin-lib-js asennetaan. Molemmat paketit sisältävät muotoillun package.json-tiedoston, joka määrittelee postinstall.cjs-skriptin. Tämä skripti lataa hiljaisesti bip40:n, joka isännöi varsinaista haitallista koodia.

Suoritettuaan bip40 ottaa käyttöön lopullisen hyötykuorman: NodeCordRATin, täysin varustellun etäkäyttötroijalaisen, jossa on sisäänrakennetut tiedonkeruutoiminnot.

Mikä on NodeCordRAT?

NodeCordRAT on saanut nimensä kahdesta keskeisestä suunnitteluvalinnastaan: npm:stä leviämismekanismina ja Discordista komento- ja hallinta-alustanaan (C2). Asennuksen jälkeen haittaohjelma tallentaa vaarantuneen järjestelmän sormenjäljet luodakseen yksilöllisen tunnisteen Windows-, Linux- ja macOS-isäntäkoneille.

Troijalainen pystyy keräämään arkaluonteisia tietoja, mukaan lukien:

  • Google Chromen tunnistetiedot
  • API-tunnukset
  • Kryptovaluuttalompakon salaisuudet, kuten MetaMask-tiedot ja siemenlausekkeet

Kaikki kerätty data kanavoidaan takaisin hyökkääjälle Discordin infrastruktuurin kautta.

Discord-pohjainen komento ja hallinta

Perinteisten C2-palvelimien sijaan NodeCordRAT käyttää kiinteästi koodattua Discord-palvelinta ja -tokenia salaisen viestintäkanavan luomiseen. Tämän kanavan kautta operaattorit voivat antaa komentoja ja vastaanottaa varastettua dataa.

Tuettuja hyökkääjäkomentoja ovat:

  • !run – Suorittaa mielivaltaisia shell-komentoja Node.js:n exec-funktion kautta
  • !screenshot – Ota koko työpöydän kuvakaappaus ja pura se PNG-tiedostona
  • !sendfile – Lähetä määritetty paikallinen tiedosto Discord-kanavalle

Tiedonsiirto Discordin API:n kautta

Tietojen varastaminen tapahtuu kokonaan Discordin REST-rajapinnan kautta. Haittaohjelma lähettää varastettua sisältöä suoraan yksityiselle kanavalle upotetun tunnuksen avulla ja liittää tiedostoja päätepisteen kautta:

/kanavat/{id}/viestit

Tämä lähestymistapa antaa uhkatoimijoille mahdollisuuden sekoittaa haitallista liikennettä lailliseen Discord-toimintaan, mikä tekee havaitsemisesta haastavampaa ympäristöissä, joissa Discord on sallittu.

Turvallisuusvaikutukset

Tämä kampanja korostaa avoimen lähdekoodin ekosysteemien ja luotettavien yhteistyöalustojen jatkuvaa väärinkäyttöä. Naamioitumalla tutuiksi Bitcoin-aiheisiksi kirjastoiksi ja aseistamalla asennuksen jälkeisiä skriptejä hyökkääjät loivat matalan kitkan tartuntapolun, joka kykeni toimittamaan alustojen välisen RAT-hyökkäyksen, joka keskittyy tunnistetietojen varastamiseen ja etähallintaan.

Kehitystiimeille ja tietoturva-ammattilaisille tapaus korostaa tiukan riippuvuustarkistuksen, asennusaikaisten komentosarjojen valvonnan ja poikkeavuuksien havaitsemisen tärkeyttä kuluttaja-alustoille, kuten Discordille, lähtevässä liikenteessä.

Trendaavat

Eniten katsottu

Ladataan...