NodeCordRAT kártevő

Kiberbiztonsági elemzők három kártékony npm csomagot fedeztek fel, amelyeket egy korábban nem dokumentált, most NodeCordRAT néven nyomon követett távoli hozzáférésű trójai (RAT) terjesztésére terveztek. Ezeket a csomagokat 2025 novemberében eltávolították az npm rendszerleíró adatbázisából, és mindegyiket egy „wenmoonx” néven működő fiók tette közzé.

Azonosított kártékony csomagok:

• bitcoin-main-lib (≈2300 letöltés)
• bitcoin-lib-js (≈193 letöltés)
• bip40 (≈970 letöltés)

A támadók szándékosan olyan neveket választottak, amelyek nagyon hasonlítanak a jól ismert bitcoinjs ökoszisztéma legitim tárhelyeihez, nyilvánvalóan ezzel próbálva félrevezetni a fejlesztőket és növelni a véletlen telepítés valószínűségét.

Fertőzéslánc és hasznos teher szállítása

A kompromittálás akkor kezdődik, amikor a bitcoin-main-lib vagy a bitcoin-lib-js telepítve van. Mindkét csomag tartalmaz egy speciálisan erre a célra létrehozott package.json fájlt, amely definiál egy postinstall.cjs szkriptet. Ez a szkript csendben behívja a bip40-et, amely a tényleges rosszindulatú kódot tárolja.

A végrehajtás után a bip40 telepíti a végső hasznos adatot: a NodeCordRAT-ot, egy teljes értékű távoli hozzáférésű trójai programot beépített adatgyűjtő funkciókkal.

Mi az a NodeCordRAT?

A NodeCordRAT nevét két alapvető tervezési döntéséről kapta: az npm-ről, mint terjedési mechanizmusról és a Discord-ról, mint parancs- és vezérlési (C2) platformról. A telepítés után a rosszindulatú program ujjlenyomatot vesz a feltört rendszerről, hogy egyedi azonosítót generáljon Windows, Linux és macOS gépeken.

A trójai képes érzékeny információk gyűjtésére, beleértve:

• Google Chrome hitelesítő adatok
• API-tokenek
• Kriptovaluta tárca titkok, például MetaMask adatok és seed phrase-ek

Az összes összegyűjtött adatot a Discord infrastruktúráján keresztül visszajuttatják a támadóhoz.

Discord-alapú parancsnokság és irányítás

A hagyományos C2 szerverekre való támaszkodás helyett a NodeCordRAT egy fixen kódolt Discord szervert és tokent használ egy titkos kommunikációs csatorna létrehozásához. Ezen a csatornán keresztül az operátorok parancsokat adhatnak ki és lopott adatokat fogadhatnak.

A támogatott támadóparancsok a következők:

• !run – Tetszőleges shell parancsok végrehajtása a Node.js exec függvényén keresztül
• !screenshot – Teljes asztali képernyőkép rögzítése és PNG fájlként való kinyerése
• !sendfile – Feltölt egy megadott helyi fájlt a Discord csatornára

Adatkivonás a Discord API-ján keresztül

A kiszűrést teljes mértékben a Discord REST API-ja kezeli. A beágyazott token használatával a rosszindulatú program közvetlenül egy privát csatornára teszi közzé az ellopott tartalmat, és a végponton keresztül csatolja a fájlokat:

/csatornák/{id}/üzenetek

Ez a megközelítés lehetővé teszi a fenyegetések szereplői számára, hogy a rosszindulatú forgalmat legitim Discord-tevékenységgel keverjék, ami megnehezíti az észlelést azokban a környezetekben, ahol a Discord engedélyezett.

Biztonsági vonatkozások

Ez a kampány rávilágít a nyílt forráskódú ökoszisztémák és a megbízható együttműködési platformok folyamatos visszaéléseire. Azzal, hogy ismerős Bitcoin-könyvtárakként álcázták magukat, és telepítés utáni szkripteket használtak fegyverként, a támadók egy alacsony súrlódású fertőzési útvonalat hoztak létre, amely képes egy platformfüggetlen, hitelesítő adatok ellopására és távoli vezérlésre összpontosító RAT vírus terjesztésére.

A fejlesztőcsapatok és a biztonsági szakemberek számára az incidens megerősíti a szigorú függőségellenőrzés, a telepítési idejű szkriptek monitorozásának és az anomáliadetektálás fontosságát a fogyasztói platformokra, például a Discordra irányuló kimenő forgalom esetében.