NodeCordRAT ļaunprogrammatūra
Kiberdrošības analītiķi ir atklājuši trīs ļaunprātīgas npm pakotnes, kas izstrādātas, lai izplatītu iepriekš nedokumentētu attālās piekļuves Trojas zirgu (RAT), kas tagad tiek izsekots kā NodeCordRAT. Šīs pakotnes tika noņemtas no npm reģistra 2025. gada novembrī, un tās visas publicēja konts, kas darbojas ar vārdu “wenmoonx”.
Identificētās ļaunprātīgās pakotnes:
- bitcoin-main-lib (≈2300 lejupielāžu)
- bitcoin-lib-js (≈193 lejupielādes)
- bip40 (≈970 lejupielādes)
Uzbrucēji apzināti izvēlējās nosaukumus, kas ļoti līdzinās likumīgiem repozitorijiem no labi pazīstamās bitcoinjs ekosistēmas, acīmredzami mēģinot maldināt izstrādātājus un palielināt nejaušas instalēšanas iespējamību.
Satura rādītājs
Infekcijas ķēde un lietderīgās slodzes piegāde
Kompromitēšana sākas, kad tiek instalēta vai nu bitcoin-main-lib, vai bitcoin-lib-js. Abas pakotnes satur izstrādātu package.json failu, kas definē postinstall.cjs skriptu. Šis skripts nemanāmi ielādē bip40, kurā atrodas faktiskais ļaunprātīgais kods.
Kad tas ir izpildīts, bip40 izvieto galīgo vērtumu: NodeCordRAT, pilnvērtīgu attālās piekļuves Trojas zirgu ar iebūvētām datu apkopošanas funkcijām.
Kas ir NodeCordRAT?
NodeCordRAT savu nosaukumu ieguvis no divām galvenajām dizaina izvēlēm: npm kā tā izplatīšanas mehānisms un Discord kā tā komandvadības un vadības (C2) platforma. Pēc instalēšanas ļaunprogrammatūra izveido pirkstu nospiedumu no apdraudētās sistēmas, lai ģenerētu unikālu identifikatoru Windows, Linux un macOS resursdatoros.
Trojas zirgs spēj ievākt sensitīvu informāciju, tostarp:
- Google Chrome akreditācijas dati
- API žetoni
- Kriptovalūtas maka noslēpumi, piemēram, MetaMask dati un sākuma frāzes
Visi apkopotie dati tiek nosūtīti atpakaļ uzbrucējam, izmantojot Discord infrastruktūru.
Uz nesaskaņām balstīta vadība un kontrole
Tā vietā, lai paļautos uz tradicionālajiem C2 serveriem, NodeCordRAT izmanto cietkodētu Discord serveri un žetonu, lai izveidotu slepenu saziņas kanālu. Izmantojot šo kanālu, operatori var izdot komandas un saņemt nozagtus datus.
Atbalstītās uzbrucēja komandas ietver:
- !run – Izpilda patvaļīgas čaulas komandas, izmantojot Node.js exec funkciju.
- !screenshot – Uzņemiet pilnu darbvirsmas ekrānuzņēmumu un izkopējiet to kā PNG failu
- !sendfile – Augšupielādēt norādīto lokālo failu Discord kanālā
Datu izsūknēšana, izmantojot Discord API
Eksfiltrācija tiek pilnībā apstrādāta, izmantojot Discord REST API. Izmantojot iegulto marķieri, ļaunprogrammatūra ievieto nozagtu saturu tieši privātā kanālā, pievienojot failus caur galapunktu:
/kanāli/{id}/ziņojumi
Šī pieeja ļauj apdraudējumu dalībniekiem apvienot ļaunprātīgu datplūsmu ar likumīgām Discord darbībām, apgrūtinot atklāšanu vidēs, kur Discord ir atļauts.
Drošības ietekme
Šī kampaņa izceļ nepārtrauktu atvērtā pirmkoda ekosistēmu un uzticamu sadarbības platformu ļaunprātīgu izmantošanu. Maskējoties par pazīstamām ar Bitcoin saistītām bibliotēkām un pārveidojot pēcinstalēšanas skriptus par ieroci, uzbrucēji izveidoja zemas berzes inficēšanas ceļu, kas spēj nodrošināt starpplatformu RAT, kas vērsts uz akreditācijas datu zādzību un tālvadību.
Izstrādes komandām un drošības speciālistiem šis incidents vēlreiz uzsver stingras atkarību pārbaudes, instalēšanas laika skriptu uzraudzības un anomāliju noteikšanas nozīmi izejošajā datplūsmā uz patērētāju platformām, piemēram, Discord.
