NodeCordRAT 멀웨어

사이버 보안 분석가들이 이전에 알려지지 않았던 원격 접속 트로이목마(RAT)인 NodeCordRAT을 배포하도록 설계된 악성 npm 패키지 3개를 발견했습니다. 이 패키지들은 2025년 11월에 npm 레지스트리에서 삭제되었으며, 모두 'wenmoonx'라는 이름으로 활동하는 계정에서 게시되었습니다.

악성 패키지가 발견되었습니다:

• bitcoin-main-lib (약 2,300회 다운로드)
• bitcoin-lib-js (약 193회 다운로드)
• bip40 (약 970회 다운로드)

공격자들은 의도적으로 잘 알려진 bitcoinjs 생태계의 합법적인 저장소와 매우 유사한 이름을 선택했는데, 이는 개발자들을 오도하고 실수로 설치될 가능성을 높이려는 명백한 시도입니다.

감염 사슬 및 페이로드 전달

이 취약점은 bitcoin-main-lib 또는 bitcoin-lib-js 패키지가 설치될 때 발생합니다. 두 패키지 모두 조작된 package.json 파일을 포함하고 있으며, 이 파일에는 postinstall.cjs 스크립트가 정의되어 있습니다. 이 스크립트는 악성 코드를 담고 있는 bip40을 사용자 모르게 설치합니다.

실행되면 bip40은 최종 페이로드인 NodeCordRAT을 배포합니다. NodeCordRAT은 데이터 수집 기능이 내장된 완벽한 기능을 갖춘 원격 액세스 트로이목마입니다.

NodeCordRAT이란 무엇인가요?

NodeCordRAT이라는 이름은 전파 메커니즘으로 npm을 사용하고 명령 및 제어(C2) 플랫폼으로 Discord를 사용하는 두 가지 핵심 설계 특징에서 유래했습니다. 설치 후, 이 악성 프로그램은 감염된 시스템의 지문을 분석하여 Windows, Linux 및 macOS 호스트에서 사용할 수 있는 고유 식별자를 생성합니다.

이 트로이 목마는 다음과 같은 민감한 정보를 수집할 수 있습니다.

• Google Chrome 자격 증명
• API 토큰
• MetaMask 데이터 및 시드 구문과 같은 암호화폐 지갑 비밀 정보

수집된 모든 데이터는 디스코드의 인프라를 통해 공격자에게 다시 전달됩니다.

디스코드 기반 명령 및 제어

NodeCordRAT은 기존의 C2 서버에 의존하는 대신, 하드코딩된 Discord 서버와 토큰을 사용하여 은밀한 통신 채널을 구축합니다. 운영자는 이 채널을 통해 명령을 내리고 탈취한 데이터를 수신할 수 있습니다.

공격자가 사용할 수 있는 명령어는 다음과 같습니다.

• !run – Node.js의 exec 함수를 통해 임의의 셸 명령을 실행합니다.
• !screenshot – 데스크톱 전체 화면을 캡처하여 PNG 파일로 저장합니다.
• !sendfile – 지정된 로컬 파일을 Discord 채널에 업로드합니다.

Discord API를 통한 데이터 유출

데이터 유출은 전적으로 Discord의 REST API를 통해 처리됩니다. 악성 프로그램은 내장된 토큰을 사용하여 탈취한 콘텐츠를 개인 채널에 직접 게시하고, 해당 엔드포인트를 통해 파일을 첨부합니다.

/채널/{id}/메시지

이러한 접근 방식을 통해 위협 행위자는 악성 트래픽을 합법적인 Discord 활동에 혼합할 수 있으므로 Discord 사용이 허용된 환경에서도 탐지가 더욱 어려워집니다.

보안 관련 사항

이 캠페인은 오픈 소스 생태계와 신뢰할 수 있는 협업 플랫폼에 대한 지속적인 악용 사례를 보여줍니다. 공격자들은 친숙한 비트코인 관련 라이브러리로 위장하고 설치 후 스크립트를 악용하여, 자격 증명 탈취 및 원격 제어를 목표로 하는 크로스 플랫폼 RAT(원격 접속 트로이 목마)를 유포할 수 있는 손쉬운 감염 경로를 만들었습니다.

개발팀과 보안 전문가들에게 이번 사건은 Discord와 같은 소비자 플랫폼으로 향하는 외부 트래픽에 대한 엄격한 종속성 검증, 설치 스크립트 모니터링 및 이상 탐지의 중요성을 다시 한번 일깨워줍니다.