NodeCordRAT Malware

साइबरसुरक्षा विश्लेषकहरूले पहिले कागजात नगरिएको रिमोट एक्सेस ट्रोजन (RAT) वितरण गर्न इन्जिनियर गरिएका तीनवटा दुर्भावनापूर्ण npm प्याकेजहरू पत्ता लगाएका छन् जुन अहिले NodeCordRAT को रूपमा ट्र्याक गरिएको छ। यी प्याकेजहरू नोभेम्बर २०२५ मा npm रजिस्ट्रीबाट हटाइएका थिए र सबै 'wenmoonx' नामले सञ्चालन हुने खाताद्वारा प्रकाशित गरिएका थिए।

पहिचान गरिएका खराब प्याकेजहरू:

• बिटकॉइन-मेन-लिब (≈२,३०० डाउनलोडहरू)
• बिटकॉइन-लिब-जेएस (≈१९३ डाउनलोडहरू)
• bip40 (≈९७० डाउनलोडहरू)

आक्रमणकारीहरूले जानाजानी त्यस्ता नामहरू चयन गरे जुन प्रसिद्ध बिटकॉइनजेएस इकोसिस्टमबाट वैध भण्डारहरूसँग मिल्दोजुल्दो छन्, विकासकर्ताहरूलाई बहकाउने र आकस्मिक स्थापनाको सम्भावना बढाउने स्पष्ट प्रयास।

संक्रमण श्रृंखला र पेलोड डेलिभरी

सम्झौता तब सुरु हुन्छ जब bitcoin-main-lib वा bitcoin-lib-js स्थापना गरिन्छ। दुबै प्याकेजहरूमा एउटा क्राफ्ट गरिएको package.json फाइल हुन्छ जसले postinstall.cjs स्क्रिप्ट परिभाषित गर्दछ। यो स्क्रिप्टले चुपचाप bip40 तान्छ, जसले वास्तविक दुर्भावनापूर्ण कोड होस्ट गर्दछ।

एकपटक कार्यान्वयन भएपछि, bip40 ले अन्तिम पेलोड तैनाथ गर्छ: NodeCordRAT, बिल्ट-इन डेटा-हार्वेस्टिङ प्रकार्यहरू सहितको पूर्ण रूपमा विशेष रिमोट एक्सेस ट्रोजन।

NodeCordRAT भनेको के हो?

NodeCordRAT ले यसको नाम यसको दुई मुख्य डिजाइन विकल्पहरूबाट लिएको हो: npm यसको प्रसार संयन्त्रको रूपमा र Discord यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) प्लेटफर्मको रूपमा। स्थापना पछि, मालवेयरले विन्डोज, लिनक्स, र macOS होस्टहरूमा एक अद्वितीय पहिचानकर्ता उत्पन्न गर्न सम्झौता गरिएको प्रणालीलाई फिंगरप्रिन्ट गर्दछ।

ट्रोजनले संवेदनशील जानकारी सङ्कलन गर्न सक्षम छ, जसमा समावेश छन्:

• गुगल क्रोम प्रमाणहरू
• API टोकनहरू
• क्रिप्टोकरेन्सी वालेटका गोप्य कुराहरू, जस्तै मेटामास्क डेटा र बीज वाक्यांशहरू

सबै सङ्कलन गरिएको डेटा डिस्कर्डको पूर्वाधार मार्फत आक्रमणकारीलाई फिर्ता पठाइन्छ।

डिसकर्ड-आधारित आदेश र नियन्त्रण

परम्परागत C2 सर्भरहरूमा भर पर्नुको सट्टा, NodeCordRAT ले गोप्य सञ्चार च्यानल स्थापना गर्न हार्ड-कोडेड डिस्कर्ड सर्भर र टोकन प्रयोग गर्दछ। यस च्यानल मार्फत, अपरेटरहरूले आदेशहरू जारी गर्न र चोरी भएको डाटा प्राप्त गर्न सक्छन्।

समर्थित आक्रमणकारी आदेशहरूमा समावेश छन्:

• !run - Node.js को exec प्रकार्य मार्फत मनमानी शेल आदेशहरू कार्यान्वयन गर्नुहोस्
• !स्क्रिनसट - पूरा डेस्कटप स्क्रिनसट खिच्नुहोस् र यसलाई PNG फाइलको रूपमा एक्सफिल्टर गर्नुहोस्।
• !sendfile - Discord च्यानलमा निर्दिष्ट स्थानीय फाइल अपलोड गर्नुहोस्।

डिस्कर्डको एपीआई मार्फत डाटा एक्सफिल्ट्रेसन

एक्सफिल्ट्रेसन पूर्ण रूपमा डिस्कर्डको REST API मार्फत ह्यान्डल गरिन्छ। इम्बेडेड टोकन प्रयोग गरेर, मालवेयरले चोरी गरिएको सामग्री सिधै निजी च्यानलमा पोस्ट गर्दछ, अन्तिम बिन्दु मार्फत फाइलहरू संलग्न गर्दछ:

/च्यानलहरू/{आईडी}/सन्देशहरू

यो दृष्टिकोणले खतरा अभिनेताहरूलाई वैध डिस्कर्ड गतिविधिसँग दुर्भावनापूर्ण ट्राफिक मिसाउन अनुमति दिन्छ, जसले गर्दा डिस्कर्डलाई अनुमति दिइएको वातावरणमा पत्ता लगाउन अझ चुनौतीपूर्ण हुन्छ।

सुरक्षा निहितार्थहरू

यो अभियानले खुला-स्रोत इकोसिस्टम र विश्वसनीय सहकार्य प्लेटफर्महरूको निरन्तर दुरुपयोगलाई प्रकाश पार्छ। परिचित बिटकोइन-सम्बन्धित पुस्तकालयहरूको रूपमा भेष बदलेर र स्थापना पछिका स्क्रिप्टहरूलाई हतियार बनाएर, आक्रमणकारीहरूले प्रमाण चोरी र रिमोट कन्ट्रोलमा केन्द्रित क्रस-प्लेटफर्म RAT प्रदान गर्न सक्षम कम-घर्षण संक्रमण मार्ग सिर्जना गरे।

विकास टोलीहरू र सुरक्षा पेशेवरहरूका लागि, यो घटनाले डिस्कर्ड जस्ता उपभोक्ता प्लेटफर्महरूमा आउटबाउन्ड ट्राफिकको लागि कडा निर्भरता जाँच, स्थापना-समय स्क्रिप्टहरूको अनुगमन, र विसंगति पत्ता लगाउने महत्त्वलाई बलियो बनाउँछ।