Preventivo sconto multi-licenza
Database delle minacce Strumenti di amministrazione remota Malware NodeCordRAT

Malware NodeCordRAT

Entro Mezo nel Strumenti di amministrazione remota
Traduci in:

Gli analisti della sicurezza informatica hanno scoperto tre pacchetti npm dannosi progettati per distribuire un trojan di accesso remoto (RAT) precedentemente non documentato, ora tracciato come NodeCordRAT. Questi pacchetti sono stati rimossi dal registro npm nel novembre 2025 e sono stati tutti pubblicati da un account operante con il nome "wenmoonx".

Pacchetti dannosi identificati:

  • bitcoin-main-lib (≈2.300 download)
  • bitcoin-lib-js (≈193 download)
  • bip40 (≈970 download)

Gli aggressori hanno deliberatamente selezionato nomi che assomigliano molto a repository legittimi del noto ecosistema bitcoinjs, un evidente tentativo di trarre in inganno gli sviluppatori e aumentare la probabilità di installazioni accidentali.

Catena di infezione e distribuzione del payload

La compromissione inizia quando viene installato bitcoin-main-lib o bitcoin-lib-js. Entrambi i pacchetti contengono un file package.json creato appositamente che definisce uno script postinstall.cjs. Questo script richiama silenziosamente bip40, che ospita il codice dannoso vero e proprio.

Una volta eseguito, bip40 distribuisce il payload finale: NodeCordRAT, un trojan di accesso remoto completo con funzioni di raccolta dati integrate.

Che cos’è NodeCordRAT?

NodeCordRAT deve il suo nome alle sue due scelte progettuali principali: npm come meccanismo di propagazione e Discord come piattaforma di comando e controllo (C2). Dopo l'installazione, il malware acquisisce le impronte digitali del sistema compromesso per generare un identificatore univoco su host Windows, Linux e macOS.

Il trojan è in grado di raccogliere informazioni sensibili, tra cui:

  • Credenziali di Google Chrome
  • Token API
  • Segreti del portafoglio di criptovalute, come i dati MetaMask e le frasi seed

Tutti i dati raccolti vengono inoltrati all'aggressore tramite l'infrastruttura di Discord.

Comando e controllo basati su Discord

Invece di affidarsi ai tradizionali server C2, NodeCordRAT utilizza un server Discord e un token hard-coded per stabilire un canale di comunicazione segreto. Attraverso questo canale, gli operatori possono impartire comandi e ricevere dati rubati.

I comandi supportati dall'attaccante includono:

  • !run – Esegue comandi shell arbitrari tramite la funzione exec di Node.js
  • !screenshot – Cattura uno screenshot completo del desktop ed estrailo come file PNG
  • !sendfile – Carica un file locale specificato sul canale Discord

Esfiltrazione di dati tramite API di Discord

L'esfiltrazione è gestita interamente tramite l'API REST di Discord. Utilizzando il token incorporato, il malware pubblica i contenuti rubati direttamente su un canale privato, allegando file tramite l'endpoint:

/canali/{id}/messaggi

Questo approccio consente agli autori delle minacce di combinare traffico dannoso con attività legittime di Discord, rendendo il rilevamento più difficile negli ambienti in cui Discord è consentito.

Implicazioni sulla sicurezza

Questa campagna mette in luce il continuo abuso di ecosistemi open source e piattaforme di collaborazione affidabili. Mascherandosi da librerie note relative a Bitcoin e trasformando in armi gli script post-installazione, gli aggressori hanno creato un percorso di infezione a basso attrito in grado di diffondere un RAT multipiattaforma incentrato sul furto di credenziali e sul controllo remoto.

Per i team di sviluppo e i professionisti della sicurezza, l'incidente rafforza l'importanza di un rigoroso controllo delle dipendenze, del monitoraggio degli script in fase di installazione e del rilevamento delle anomalie nel traffico in uscita verso piattaforme consumer come Discord.

Tendenza

I più visti

Caricamento in corso...