Ponuda s popustom na više licenci
Baza prijetnji Alati za udaljenu administraciju Zlonamjerni softver NodeCordRAT

Zlonamjerni softver NodeCordRAT

Do Mezo. Alati za udaljenu administraciju. godine
Prevedi na:

Analitičari kibernetičke sigurnosti otkrili su tri zlonamjerna npm paketa osmišljena za distribuciju prethodno nedokumentiranog trojanca za udaljeni pristup (RAT) koji se sada prati kao NodeCordRAT. Ovi paketi uklonjeni su iz npm registra u studenom 2025. i sve ih je objavio račun koji posluje pod imenom 'wenmoonx'.

Identificirani zlonamjerni paketi:

  • bitcoin-main-lib (≈2.300 preuzimanja)
  • bitcoin-lib-js (≈193 preuzimanja)
  • bip40 (≈970 preuzimanja)

Napadači su namjerno odabrali imena koja jako sliče legitimnim repozitorijama iz dobro poznatog bitcoinjs ekosustava, što je očiti pokušaj obmanjivanja programera i povećanja vjerojatnosti slučajne instalacije.

Lanac infekcije i isporuka korisnog tereta

Kompromitacija počinje kada se instalira bitcoin-main-lib ili bitcoin-lib-js. Oba paketa sadrže izrađenu datoteku package.json koja definira skriptu postinstall.cjs. Ova skripta tiho povlači bip40, koji sadrži stvarni zlonamjerni kod.

Nakon izvršenja, bip40 postavlja konačni korisni teret: NodeCordRAT, potpuno opremljenog trojanca za udaljeni pristup s ugrađenim funkcijama prikupljanja podataka.

Što je NodeCordRAT?

NodeCordRAT je dobio ime po svoja dva osnovna dizajnerska izbora: npm kao mehanizam širenja i Discord kao platforma za upravljanje i kontrolu (C2). Nakon instalacije, zlonamjerni softver otiske prstiju kompromitiranog sustava kako bi generirao jedinstveni identifikator na Windows, Linux i macOS hostovima.

Trojanac je sposoban prikupljati osjetljive informacije, uključujući:

  • Vjerodajnice za Google Chrome
  • API tokeni
  • Tajne kriptovalutnih novčanika, kao što su podaci MetaMask-a i sjemenske fraze

Svi prikupljeni podaci se vraćaju napadaču putem Discordove infrastrukture.

Zapovijedanje i upravljanje temeljeno na Discordu

Umjesto oslanjanja na tradicionalne C2 servere, NodeCordRAT koristi ugrađeni Discord server i token za uspostavljanje tajnog komunikacijskog kanala. Putem ovog kanala, operateri mogu izdavati naredbe i primati ukradene podatke.

Podržane naredbe za napadače uključuju:

  • !run – Izvršava proizvoljne shell naredbe putem Node.js-ove exec funkcije
  • !screenshot – Snimite snimku zaslona cijele radne površine i preuzmite je kao PNG datoteku
  • !sendfile – Prenesite određenu lokalnu datoteku na Discord kanal

Eksfiltracija podataka putem Discord API-ja

Zlonamjerni softver obrađuje ukradeni sadržaj u potpunosti putem Discordovog REST API-ja. Koristeći ugrađeni token, zlonamjerni softver objavljuje ukradeni sadržaj izravno na privatni kanal, prilažući datoteke putem krajnje točke:

/kanali/{id}/poruke

Ovaj pristup omogućuje prijetnjama da pomiješaju zlonamjerni promet s legitimnim aktivnostima na Discordu, što otežava otkrivanje u okruženjima gdje je Discord dopušten.

Sigurnosne implikacije

Ova kampanja ističe kontinuiranu zlouporabu ekosustava otvorenog koda i pouzdanih platformi za suradnju. Maskirajući se u poznate biblioteke povezane s Bitcoinom i pretvarajući skripte nakon instalacije u oružje, napadači su stvorili put infekcije s niskim trenjem sposoban za isporuku višeplatformskog RAT-a usmjerenog na krađu vjerodajnica i daljinsko upravljanje.

Za razvojne timove i sigurnosne stručnjake, incident naglašava važnost stroge provjere ovisnosti, praćenja skripti za vrijeme instalacije i otkrivanja anomalija za odlazni promet prema potrošačkim platformama poput Discorda.

U trendu

Nagledanije

Učitavam...