Rabatttilbud for flere lisenser
Trusseldatabase Fjernadministrasjonsverktøy NodeCordRAT-skadevare

NodeCordRAT-skadevare

Med Mezo i Fjernadministrasjonsverktøy
Oversett til:

Nettsikkerhetsanalytikere har avdekket tre ondsinnede npm-pakker som var utviklet for å distribuere en tidligere udokumentert fjerntilgangstrojaner (RAT) som nå spores som NodeCordRAT. Disse pakkene ble fjernet fra npm-registeret i november 2025 og ble alle publisert av en konto som opererte under navnet «wenmoonx».

Identifiserte skadelige pakker:

  • bitcoin-main-lib (≈2300 nedlastinger)
  • bitcoin-lib-js (≈193 nedlastinger)
  • bip40 (≈970 nedlastinger)

Angriperne valgte bevisst navn som ligner på legitime databaser fra det velkjente bitcoinjs-økosystemet, et tilsynelatende forsøk på å villede utviklere og øke sannsynligheten for utilsiktet installasjon.

Infeksjonskjede og levering av nyttelast

Kompromitteringen starter når enten bitcoin-main-lib eller bitcoin-lib-js er installert. Begge pakkene inneholder en utformet package.json-fil som definerer et postinstall.cjs-skript. Dette skriptet henter stille inn bip40, som er vert for den faktiske skadelige koden.

Når den er utført, distribuerer bip40 den endelige nyttelasten: NodeCordRAT, en fullverdig trojaner for fjerntilgang med innebygde datainnsamlingsfunksjoner.

Hva er NodeCordRAT?

NodeCordRAT har fått navnet sitt fra sine to kjernedesignvalg: npm som forplantningsmekanisme og Discord som kommando-og-kontroll (C2)-plattform. Etter installasjonen lager skadevaren fingeravtrykk av det kompromitterte systemet for å generere en unik identifikator på tvers av Windows-, Linux- og macOS-verter.

Trojaneren er i stand til å samle sensitiv informasjon, inkludert:

  • Google Chrome-legitimasjon
  • API-tokener
  • Hemmeligheter for kryptovaluta-lommebøker, som MetaMask-data og såfraser

Alle innsamlede data kanaliseres tilbake til angriperen gjennom Discords infrastruktur.

Discord-basert kommando og kontroll

I stedet for å stole på tradisjonelle C2-servere, bruker NodeCordRAT en hardkodet Discord-server og token for å etablere en skjult kommunikasjonskanal. Gjennom denne kanalen kan operatører utstede kommandoer og motta stjålne data.

Støttede angriperkommandoer inkluderer:

  • !run – Utfør vilkårlige skallkommandoer via Node.js' exec-funksjon
  • !screenshot – Ta et fullstendig skjermbilde av skrivebordet og filtrer det ut som en PNG-fil
  • !sendfile – Last opp en spesifisert lokal fil til Discord-kanalen

Datautvinning via Discords API

Eksfiltrering håndteres utelukkende gjennom Discords REST API. Ved hjelp av den innebygde tokenen legger skadevaren ut stjålet innhold direkte til en privat kanal, og legger ved filer gjennom endepunktet:

/kanaler/{id}/meldinger

Denne tilnærmingen lar trusselaktører blande ondsinnet trafikk med legitim Discord-aktivitet, noe som gjør deteksjon mer utfordrende i miljøer der Discord er tillatt.

Sikkerhetsimplikasjoner

Denne kampanjen fremhever det fortsatte misbruket av åpen kildekode-økosystemer og pålitelige samarbeidsplattformer. Ved å utgi seg for å være kjente Bitcoin-relaterte biblioteker og bruke etterinstallasjonsskript som våpen, skapte angriperne en lavfriksjonsinfeksjonsvei som var i stand til å levere en plattformuavhengig RAT fokusert på legitimasjonstyveri og fjernkontroll.

For utviklingsteam og sikkerhetsfagfolk forsterker hendelsen viktigheten av streng avhengighetskontroll, overvåking av skript under installasjon og avviksdeteksjon for utgående trafikk til forbrukerplattformer som Discord.

Trender

Mest sett

Laster inn...