„NodeCordRAT“ kenkėjiška programa
Kibernetinio saugumo analitikai atrado tris kenkėjiškus „npm“ paketus, sukurtus platinti anksčiau nedokumentuotą nuotolinės prieigos Trojos arklį (RAT), dabar stebimą kaip „NodeCordRAT“. Šie paketai buvo pašalinti iš „npm“ registro 2025 m. lapkritį ir juos visus paskelbė paskyra, veikianti pavadinimu „wenmoonx“.
Identifikuoti kenkėjiški paketai:
- bitcoin-main-lib (apie 2 300 atsisiuntimų)
- bitcoin-lib-js (≈193 atsisiuntimai)
- bip40 (≈970 atsisiuntimų)
Užpuolikai sąmoningai pasirinko pavadinimus, kurie labai primena teisėtas saugyklas iš gerai žinomos bitcoinjs ekosistemos, akivaizdžiai bandydami suklaidinti kūrėjus ir padidinti atsitiktinio įdiegimo tikimybę.
Turinys
Infekcijos grandinė ir naudingojo krovinio pristatymas
Kompromitacija prasideda įdiegus bitcoin-main-lib arba bitcoin-lib-js. Abu paketai turi sukurtą package.json failą, kuriame apibrėžiamas postinstall.cjs skriptas. Šis skriptas tyliai įjungia bip40, kuriame yra tikrasis kenkėjiškas kodas.
Paleidus programą, „bip40“ paleidžia galutinį paketą: „NodeCordRAT“ – visavertį nuotolinės prieigos Trojos arklį su integruotomis duomenų rinkimo funkcijomis.
Kas yra „NodeCordRAT“?
„NodeCordRAT“ pavadinimas kilo iš dviejų pagrindinių dizaino pasirinkimų: „npm“ kaip sklidimo mechanizmo ir „Discord“ kaip komandų ir valdymo (C2) platformos. Įdiegus kenkėjiška programa atpažįsta pažeistą sistemą, kad sugeneruotų unikalų identifikatorių „Windows“, „Linux“ ir „macOS“ pagrindiniuose kompiuteriuose.
Trojos arklys gali rinkti slaptą informaciją, įskaitant:
- „Google Chrome“ prisijungimo duomenys
- API žetonai
- Kriptovaliutų piniginės paslaptys, tokios kaip „MetaMask“ duomenys ir pradinės frazės
Visi surinkti duomenys grąžinami užpuolikui per „Discord“ infrastruktūrą.
Discord pagrindu veikiantis valdymas ir kontrolė
Užuot naudojęsis tradiciniais C2 serveriais, „NodeCordRAT“ naudoja užkoduotą „Discord“ serverį ir žetoną, kad sukurtų slaptą ryšio kanalą. Per šį kanalą operatoriai gali duoti komandas ir gauti pavogtus duomenis.
Palaikomos užpuoliko komandos apima:
- !run – Vykdyti savavališkas shell komandas naudojant Node.js exec funkciją
- !screenshot – Užfiksuokite viso darbalaukio ekrano kopiją ir išskleiskite ją kaip PNG failą
- !sendfile – Įkelti nurodytą vietinį failą į „Discord“ kanalą
Duomenų išgavimas per „Discord“ API
Išgavimas vykdomas tik per „Discord“ REST API. Naudodama įterptąjį prieigos raktą, kenkėjiška programa pavogtą turinį tiesiogiai paskelbia privačiame kanale, prisegdama failus per galinį tašką:
/kanalai/{id}/žinutės
Toks metodas leidžia grėsmių veikėjams sujungti kenkėjišką srautą su teisėta „Discord“ veikla, todėl aptikimas tampa sudėtingesnis aplinkose, kuriose leidžiama naudoti „Discord“.
Saugumo pasekmės
Ši kampanija atkreipia dėmesį į nuolatinį atvirojo kodo ekosistemų ir patikimų bendradarbiavimo platformų piktnaudžiavimą. Apsimesdami pažįstamomis su Bitcoin susijusiomis bibliotekomis ir paversdami jas po įdiegimo sukurtais scenarijais kaip ginklu, užpuolikai sukūrė mažos trinties užkrėtimo kelią, galintį pateikti kelių platformų RAT ataką, skirtą kredencialų vagystei ir nuotoliniam valdymui.
Kūrimo komandoms ir saugumo specialistams šis incidentas dar kartą pabrėžia griežto priklausomybių tikrinimo, diegimo metu vykdomų scenarijų stebėjimo ir anomalijų aptikimo svarbą siunčiamam srautui į vartotojų platformas, tokias kaip „Discord“.
