Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Alat Pentadbiran Jauh Perisian Hasad NodeCordRAT

Perisian Hasad NodeCordRAT

Menjelang Mezo pada Alat Pentadbiran Jauh
Terjemahkan ke

Penganalisis keselamatan siber telah menemui tiga pakej npm berniat jahat yang direka bentuk untuk mengedarkan trojan akses jauh (RAT) yang sebelum ini tidak didokumenkan yang kini dikesan sebagai NodeCordRAT. Pakej-pakej ini telah dialih keluar daripada daftar npm pada November 2025 dan semuanya diterbitkan oleh akaun yang beroperasi di bawah nama 'wenmoonx'.

Pakej berniat jahat yang dikenal pasti:

  • bitcoin-main-lib (≈2,300 muat turun)
  • bitcoin-lib-js (≈193 muat turun)
  • bip40 (≈970 muat turun)

Penyerang sengaja memilih nama yang hampir menyerupai repositori sah daripada ekosistem bitcoinjs yang terkenal, satu percubaan yang jelas untuk mengelirukan pembangun dan meningkatkan kemungkinan pemasangan tidak sengaja.

Rantaian Jangkitan dan Penghantaran Muatan

Kompromi bermula apabila sama ada bitcoin-main-lib atau bitcoin-lib-js dipasang. Kedua-dua pakej mengandungi fail package.json yang direka bentuk yang mentakrifkan skrip postinstall.cjs. Skrip ini secara senyap menarik bip40, yang mengehos kod berniat jahat yang sebenar.

Setelah dilaksanakan, bip40 akan menggunakan muatan akhir: NodeCordRAT, trojan akses jauh yang mempunyai ciri lengkap dengan fungsi pengumpulan data terbina dalam.

Apakah NodeCordRAT?

NodeCordRAT memperoleh namanya daripada dua pilihan reka bentuk terasnya: npm sebagai mekanisme penyebarannya dan Discord sebagai platform Perintah-dan-Kawalan (C2). Selepas pemasangan, perisian hasad akan mencap jari sistem yang dikompromi untuk menghasilkan pengecam unik merentasi hos Windows, Linux dan macOS.

Trojan ini mampu mendapatkan maklumat sensitif, termasuk:

  • Kelayakan Google Chrome
  • Token API
  • Rahsia dompet mata wang kripto, seperti data MetaMask dan frasa benih

Semua data yang dikumpul disalurkan kembali kepada penyerang melalui infrastruktur Discord.

Perintah dan Kawalan Berasaskan Discord

Daripada bergantung pada pelayan C2 tradisional, NodeCordRAT menggunakan pelayan dan token Discord yang dikodkan secara keras untuk mewujudkan saluran komunikasi rahsia. Melalui saluran ini, pengendali boleh mengeluarkan arahan dan menerima data yang dicuri.

Arahan penyerang yang disokong termasuk:

  • !run – Laksanakan arahan shell sewenang-wenangnya melalui fungsi pelaksanaan Node.js
  • !tangkapan skrin – Tangkap tangkapan skrin desktop penuh dan keluarkannya sebagai fail PNG
  • !sendfile – Muat naik fail setempat yang ditentukan ke saluran Discord

Pengeluaran Data melalui API Discord

Pengekstrakan penapisan dikendalikan sepenuhnya melalui REST API Discord. Menggunakan token terbenam, perisian hasad menyiarkan kandungan yang dicuri terus ke saluran peribadi, melampirkan fail melalui titik akhir:

/saluran/{id}/mesej

Pendekatan ini membolehkan pelaku ancaman menggabungkan trafik berniat jahat dengan aktiviti Discord yang sah, menjadikan pengesanan lebih mencabar dalam persekitaran yang membenarkan Discord.

Implikasi Keselamatan

Kempen ini mengetengahkan penyalahgunaan berterusan ekosistem sumber terbuka dan platform kolaborasi yang dipercayai. Dengan menyamar sebagai perpustakaan berkaitan Bitcoin yang biasa dan menjadikan skrip pasca pemasangan sebagai senjata, penyerang mencipta laluan jangkitan geseran rendah yang mampu menyampaikan RAT merentas platform yang tertumpu pada kecurian kelayakan dan kawalan jauh.

Bagi pasukan pembangunan dan profesional keselamatan, insiden ini mengukuhkan kepentingan pemeriksaan kebergantungan yang ketat, pemantauan skrip masa pemasangan dan pengesanan anomali untuk trafik keluar ke platform pengguna seperti Discord.

Trending

Paling banyak dilihat

Memuatkan...