NodeCordRAT Malware

साइबर सुरक्षा विश्लेषकों ने तीन दुर्भावनापूर्ण npm पैकेजों का पता लगाया है जिन्हें पहले से अज्ञात रिमोट एक्सेस ट्रोजन (RAT) को वितरित करने के लिए डिज़ाइन किया गया था, जिसे अब NodeCordRAT के रूप में ट्रैक किया जा रहा है। इन पैकेजों को नवंबर 2025 में npm रजिस्ट्री से हटा दिया गया था और ये सभी 'wenmoonx' नाम से संचालित एक खाते द्वारा प्रकाशित किए गए थे।

पहचाने गए दुर्भावनापूर्ण पैकेज:

• bitcoin-main-lib (लगभग 2,300 डाउनलोड)
• bitcoin-lib-js (लगभग 193 डाउनलोड)
• bip40 (लगभग 970 डाउनलोड)

हमलावरों ने जानबूझकर ऐसे नाम चुने जो जाने-माने बिटकॉइनजेएस इकोसिस्टम के वैध रिपॉजिटरी से मिलते-जुलते हों, जो डेवलपर्स को गुमराह करने और आकस्मिक इंस्टॉलेशन की संभावना को बढ़ाने का एक स्पष्ट प्रयास है।

संक्रमण श्रृंखला और पेलोड वितरण

यह समस्या तब शुरू होती है जब bitcoin-main-lib या bitcoin-lib-js में से कोई एक इंस्टॉल किया जाता है। दोनों पैकेजों में एक विशेष रूप से तैयार की गई package.json फ़ाइल होती है जो postinstall.cjs स्क्रिप्ट को परिभाषित करती है। यह स्क्रिप्ट चुपचाप bip40 को इंस्टॉल कर लेती है, जिसमें असल दुर्भावनापूर्ण कोड मौजूद होता है।

एक बार निष्पादित होने के बाद, bip40 अंतिम पेलोड तैनात करता है: NodeCordRAT, एक पूर्ण विशेषताओं वाला रिमोट एक्सेस ट्रोजन जिसमें डेटा-संचयन कार्य अंतर्निहित होते हैं।

NodeCordRAT क्या है?

NodeCordRAT नाम इसके दो प्रमुख डिज़ाइन विकल्पों से लिया गया है: प्रसार तंत्र के रूप में npm और कमांड-एंड-कंट्रोल (C2) प्लेटफ़ॉर्म के रूप में Discord। इंस्टॉलेशन के बाद, मैलवेयर प्रभावित सिस्टम का फिंगरप्रिंट लेकर Windows, Linux और macOS होस्ट पर एक अद्वितीय पहचानकर्ता उत्पन्न करता है।

यह ट्रोजन संवेदनशील जानकारी को इकट्ठा करने में सक्षम है, जिसमें शामिल हैं:

• Google Chrome क्रेडेंशियल
• एपीआई टोकन
• क्रिप्टोकरेंसी वॉलेट के गुप्त रहस्य, जैसे कि मेटामास्क डेटा और सीड वाक्यांश

सभी एकत्रित डेटा डिस्कॉर्ड के बुनियादी ढांचे के माध्यम से हमलावर को वापस भेज दिया जाता है।

डिस्कोर्ड-आधारित कमांड और नियंत्रण

परंपरागत C2 सर्वरों पर निर्भर रहने के बजाय, NodeCordRAT एक हार्ड-कोडेड Discord सर्वर और टोकन का उपयोग करके एक गुप्त संचार चैनल स्थापित करता है। इस चैनल के माध्यम से, ऑपरेटर आदेश जारी कर सकते हैं और चोरी किया गया डेटा प्राप्त कर सकते हैं।

समर्थित हमलावर कमांड में निम्नलिखित शामिल हैं:

• !run – Node.js के exec फ़ंक्शन के माध्यम से मनमाने शेल कमांड निष्पादित करें
• !screenshot – डेस्कटॉप का पूरा स्क्रीनशॉट लें और उसे PNG फ़ाइल के रूप में सेव करें
• !sendfile – किसी निर्दिष्ट स्थानीय फ़ाइल को Discord चैनल पर अपलोड करें

डिस्कॉर्ड के एपीआई के माध्यम से डेटा की चोरी

डेटा की चोरी पूरी तरह से Discord के REST API के माध्यम से की जाती है। एम्बेडेड टोकन का उपयोग करके, मैलवेयर चोरी की गई सामग्री को सीधे एक निजी चैनल पर पोस्ट करता है, और एंडपॉइंट के माध्यम से फ़ाइलें संलग्न करता है।

/चैनल/{आईडी}/संदेश

यह तरीका हमलावरों को दुर्भावनापूर्ण ट्रैफिक को वैध डिस्कॉर्ड गतिविधि के साथ मिलाने की अनुमति देता है, जिससे उन वातावरणों में पता लगाना अधिक चुनौतीपूर्ण हो जाता है जहां डिस्कॉर्ड की अनुमति है।

सुरक्षा निहितार्थ

यह अभियान ओपन-सोर्स इकोसिस्टम और विश्वसनीय सहयोग प्लेटफॉर्मों के लगातार दुरुपयोग को उजागर करता है। बिटकॉइन से संबंधित परिचित लाइब्रेरीज़ का रूप धारण करके और पोस्ट-इंस्टॉल स्क्रिप्ट्स का दुरुपयोग करके, हमलावरों ने एक ऐसा संक्रमणकारी मार्ग बनाया जो क्रेडेंशियल चोरी और रिमोट कंट्रोल पर केंद्रित क्रॉस-प्लेटफॉर्म RAT (रेडिकल रेट अटैक) फैलाने में सक्षम था।

विकास टीमों और सुरक्षा पेशेवरों के लिए, यह घटना सख्त निर्भरता जांच, इंस्टॉलेशन-टाइम स्क्रिप्ट की निगरानी और डिस्कोर्ड जैसे उपभोक्ता प्लेटफार्मों पर जाने वाले आउटबाउंड ट्रैफ़िक के लिए विसंगति का पता लगाने के महत्व को रेखांकित करती है।