មេរោគ NodeCordRAT

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញកញ្ចប់ npm ព្យាបាទចំនួនបីដែលត្រូវបានរចនាឡើងដើម្បីចែកចាយមេរោគ Trojan ចូលប្រើពីចម្ងាយ (RAT) ដែលគ្មានឯកសារពីមុន ដែលឥឡូវនេះត្រូវបានតាមដានថាជា NodeCordRAT។ កញ្ចប់ទាំងនេះត្រូវបានដកចេញពីបញ្ជីឈ្មោះ npm ក្នុងខែវិច្ឆិកា ឆ្នាំ 2025 ហើយទាំងអស់ត្រូវបានបោះពុម្ពផ្សាយដោយគណនីមួយដែលដំណើរការក្រោមឈ្មោះ 'wenmoonx'។

កញ្ចប់ព្យាបាទដែលបានកំណត់អត្តសញ្ញាណ៖

• bitcoin-main-lib (ទាញយក ≈២,៣០០ ដង)
• bitcoin-lib-js (ទាញយក ≈១៩៣ ដង)
• bip40 (ទាញយក ≈970 ដង)

អ្នកវាយប្រហារបានជ្រើសរើសឈ្មោះដែលស្រដៀងនឹងឃ្លាំងផ្ទុកស្របច្បាប់ពីប្រព័ន្ធអេកូឡូស៊ី bitcoinjs ដ៏ល្បីល្បាញដោយចេតនា ដែលជាការប៉ុនប៉ងជាក់ស្តែងដើម្បីបំភាន់អ្នកអភិវឌ្ឍន៍ និងបង្កើនលទ្ធភាពនៃការដំឡើងដោយចៃដន្យ។

ខ្សែសង្វាក់នៃការឆ្លងមេរោគ និងការដឹកជញ្ជូនទំនិញ

ការសម្របសម្រួលចាប់ផ្តើមនៅពេលដែល bitcoin-main-lib ឬ bitcoin-lib-js ត្រូវបានដំឡើង។ កញ្ចប់ទាំងពីរមានឯកសារ package.json ដែលបង្កើតឡើងដែលកំណត់ស្គ្រីប postinstall.cjs។ ស្គ្រីបនេះទាញយក bip40 ដោយស្ងាត់ៗ ដែលជាកន្លែងផ្ទុកកូដព្យាបាទពិតប្រាកដ។

នៅពេលត្រូវបានប្រតិបត្តិ bip40 ដាក់ពង្រាយ payload ចុងក្រោយ៖ NodeCordRAT ដែលជាមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលមានលក្ខណៈពិសេសពេញលេញជាមួយនឹងមុខងារប្រមូលទិន្នន័យដែលភ្ជាប់មកជាមួយ។

តើ NodeCordRAT ជាអ្វី?

NodeCordRAT ទទួលបានឈ្មោះរបស់វាពីជម្រើសរចនាស្នូលពីររបស់វា៖ npm ជាយន្តការផ្សព្វផ្សាយរបស់វា និង Discord ជាវេទិកា Command-and-Control (C2) របស់វា។ បន្ទាប់ពីការដំឡើងរួច មេរោគនឹងសម្គាល់ប្រព័ន្ធដែលរងការសម្របសម្រួល ដើម្បីបង្កើតឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់នៅទូទាំងម៉ាស៊ីន Windows, Linux និង macOS។

មេរោគ Trojan នេះមានសមត្ថភាពប្រមូលព័ត៌មានរសើប រួមមាន៖

• លិខិតសម្គាល់ Google Chrome
• ថូខឹន API
• អាថ៌កំបាំងនៃកាបូបលុយឌីជីថល ដូចជាទិន្នន័យ MetaMask និងឃ្លាដើម

ទិន្នន័យដែលប្រមូលបានទាំងអស់ត្រូវបានបញ្ជូនត្រឡប់ទៅអ្នកវាយប្រហារវិញតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធរបស់ Discord។

បញ្ជា និងគ្រប់គ្រងដោយផ្អែកលើ Discord

ជំនួស​ឲ្យ​ការ​ពឹង​ផ្អែក​លើ​ម៉ាស៊ីន​បម្រើ C2 បែប​ប្រពៃណី NodeCordRAT ប្រើប្រាស់​ម៉ាស៊ីន​បម្រើ Discord ដែល​បាន​អ៊ិនកូដ​យ៉ាង​ត្រឹមត្រូវ និង​ថូខឹន ដើម្បី​បង្កើត​ឆានែល​ទំនាក់ទំនង​សម្ងាត់។ តាមរយៈ​ឆានែល​នេះ ប្រតិបត្តិករ​អាច​ចេញ​ពាក្យបញ្ជា និង​ទទួល​ទិន្នន័យ​ដែល​ត្រូវ​បាន​លួច។

ពាក្យបញ្ជាវាយប្រហារដែលគាំទ្ររួមមាន៖

• !run – ប្រតិបត្តិពាក្យបញ្ជាសែលតាមអំពើចិត្តតាមរយៈអនុគមន៍ exec របស់ Node.js
• !screenshot – ថតរូបភាពអេក្រង់ពេញផ្ទៃតុ ហើយស្រង់វាជាឯកសារ PNG
• !sendfile – ផ្ទុកឡើងឯកសារក្នុងស្រុកដែលបានបញ្ជាក់ទៅកាន់ឆានែល Discord

ការលួចយកទិន្នន័យតាមរយៈ API របស់ Discord

ការច្រោះចេញត្រូវបានដោះស្រាយទាំងស្រុងតាមរយៈ REST API របស់ Discord។ ដោយប្រើថូខឹនដែលបានបង្កប់ មេរោគនឹងបង្ហោះខ្លឹមសារដែលត្រូវបានលួចដោយផ្ទាល់ទៅកាន់ឆានែលឯកជន ដោយភ្ជាប់ឯកសារតាមរយៈចំណុចបញ្ចប់៖

/ឆានែល/{លេខសម្គាល់}/សារ

វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងលាយបញ្ចូលគ្នានូវចរាចរណ៍ព្យាបាទជាមួយនឹងសកម្មភាព Discord ស្របច្បាប់ ដែលធ្វើឱ្យការរកឃើញកាន់តែពិបាកនៅក្នុងបរិយាកាសដែល Discord ត្រូវបានអនុញ្ញាត។

ផលប៉ះពាល់សន្តិសុខ

យុទ្ធនាការនេះបង្ហាញពីការរំលោភបំពានជាបន្តបន្ទាប់លើប្រព័ន្ធអេកូឡូស៊ីប្រភពបើកចំហ និងវេទិកាសហការដែលគួរឱ្យទុកចិត្ត។ តាមរយៈការក្លែងបន្លំជាបណ្ណាល័យដែលទាក់ទងនឹង Bitcoin ដែលធ្លាប់ស្គាល់ និងការប្រើប្រាស់ស្គ្រីបក្រោយការដំឡើងជាអាវុធ អ្នកវាយប្រហារបានបង្កើតផ្លូវឆ្លងដែលមានការកកិតទាប ដែលមានសមត្ថភាពផ្តល់ RAT ឆ្លងវេទិកាដែលផ្តោតលើការលួចព័ត៌មានសម្ងាត់ និងការបញ្ជាពីចម្ងាយ។

សម្រាប់ក្រុមអភិវឌ្ឍន៍ និងអ្នកជំនាញសន្តិសុខ ឧប្បត្តិហេតុនេះបានពង្រឹងសារៈសំខាន់នៃការត្រួតពិនិត្យយ៉ាងតឹងរ៉ឹងនូវការពឹងផ្អែក ការត្រួតពិនិត្យស្គ្រីបពេលវេលាដំឡើង និងការរកឃើញភាពមិនប្រក្រតីសម្រាប់ចរាចរណ៍ចេញទៅកាន់វេទិកាអ្នកប្រើប្រាស់ដូចជា Discord ជាដើម។