הצעת הנחה מרובה רישיונות
מסד נתונים של איומים כלי ניהול מרחוק תוכנה זדונית של NodeCordRAT

תוכנה זדונית של NodeCordRAT

עד Mezo ב-כלי ניהול מרחוק
לתרגם ל:

אנליסטים של אבטחת סייבר חשפו שלוש חבילות npm זדוניות שתוכננו להפיץ טרויאן גישה מרחוק (RAT) שלא תועד בעבר, שכעת עוקב אחר NodeCordRAT. חבילות אלו הוסרו מרישום ה-npm בנובמבר 2025 וכולן פורסמו על ידי חשבון הפועל תחת השם 'wenmoonx'.

חבילות זדוניות שזוהו:

  • bitcoin-main-lib (כ-2,300 הורדות)
  • bitcoin-lib-js (כ-193 הורדות)
  • bip40 (כ-970 הורדות)

התוקפים בחרו במכוון שמות הדומים מאוד למאגרים לגיטימיים מהמערכת האקולוגית הידועה של bitcoinjs, ניסיון לכאורה להטעות מפתחים ולהגדיל את הסבירות להתקנה בשוגג.

שרשרת הדבקה ומשלוח מטען

הפגיעה מתחילה כאשר מותקנת אחת מהחבילות bitcoin-main-lib או bitcoin-lib-js. שתי החבילות מכילות קובץ package.json מבנה שמגדיר סקריפט postinstall.cjs. סקריפט זה מושך בשקט את bip40, המארח את הקוד הזדוני בפועל.

לאחר ההפעלה, bip40 פורס את המטען הסופי: NodeCordRAT, טרויאני גישה מרחוק מלא עם פונקציות מובנות לאיסוף נתונים.

מה זה NodeCordRAT?

NodeCordRAT נגזר שמו משתי אפשרויות העיצוב המרכזיות שלו: npm כמנגנון ההפצה שלו ו-Discord כפלטפורמת הפיקוד והשליטה (C2) שלו. לאחר ההתקנה, התוכנה הזדונית אוספת טביעות אצבע על המערכת הפגועה כדי ליצור מזהה ייחודי על פני מערכות הפעלה Windows, Linux ו-macOS.

הטרויאני מסוגל לאסוף מידע רגיש, כולל:

  • פרטי כניסה של גוגל כרום
  • אסימוני API
  • סודות ארנקי קריפטו, כגון נתוני MetaMask וביטויי זרעים

כל הנתונים שנאספים מועברים חזרה לתוקף דרך התשתית של דיסקורד.

פיקוד ובקרה מבוססי דיסקורד

במקום להסתמך על שרתי C2 מסורתיים, NodeCordRAT משתמש בשרת Discord ובטוקן מקודדים כדי ליצור ערוץ תקשורת סודי. דרך ערוץ זה, מפעילים יכולים להוציא פקודות ולקבל נתונים גנובים.

פקודות תוקף נתמכות כוללות:

  • !run – ביצוע פקודות מעטפת שרירותיות דרך פונקציית exec של Node.js
  • !screenshot – צלם צילום מסך מלא של שולחן העבודה וחילק אותו כקובץ PNG
  • !sendfile – העלאת קובץ מקומי מסוים לערוץ דיסקורד

חילוץ נתונים דרך ה-API של דיסקורד

החילוץ מטופל כולו דרך REST API של Discord. באמצעות הטוקן המוטמע, התוכנה הזדונית מפרסמת תוכן גנוב ישירות לערוץ פרטי, ומצרפת קבצים דרך נקודת הקצה:

/channels/{id}/messages

גישה זו מאפשרת לגורמי איום לשלב תעבורה זדונית עם פעילות לגיטימית של דיסקורד, מה שהופך את הזיהוי למאתגר יותר בסביבות בהן דיסקורד מותר.

השלכות אבטחה

קמפיין זה מדגיש את המשך השימוש לרעה במערכות אקולוגיות בקוד פתוח ובפלטפורמות שיתוף פעולה מהימנות. על ידי התחזות לספריות מוכרות הקשורות לביטקוין והפיכת סקריפטים לאחר ההתקנה לנשק, התוקפים יצרו נתיב הדבקה בעל חיכוך נמוך המסוגל לספק RAT חוצת פלטפורמות המתמקד בגניבת אישורים ובשליטה מרחוק.

עבור צוותי פיתוח ואנשי מקצוע בתחום האבטחה, התקרית מחזקת את החשיבות של סינון תלויות קפדני, ניטור סקריפטים בזמן ההתקנה וזיהוי אנומליות בתעבורה יוצאת לפלטפורמות צרכנים כמו Discord.

מגמות

Securedwebsearch.com

אתרים נוכלים, חוטפי דפדפן, תוכניות שעלולות להיות לא רצויות
חיוני ביותר שמשתמשים יגנו על המכשירים שלהם מפני תוכנות פוטנציאליות לא רצויות (PUPs) פולשניות ולא אמינות. תוכנות אלו נראות לעתים קרובות בלתי מזיקות, אך הן פועלות לעתים קרובות בדרכים שפוגעות בפרטיות,...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
27,335
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...