NodeCordRAT Malware

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਤਿੰਨ ਖਤਰਨਾਕ npm ਪੈਕੇਜਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਨੂੰ ਵੰਡਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸਨ ਜੋ ਹੁਣ NodeCordRAT ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਹਨਾਂ ਪੈਕੇਜਾਂ ਨੂੰ ਨਵੰਬਰ 2025 ਵਿੱਚ npm ਰਜਿਸਟਰੀ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਸੀ ਅਤੇ ਇਹ ਸਾਰੇ 'wenmoonx' ਨਾਮ ਹੇਠ ਕੰਮ ਕਰਨ ਵਾਲੇ ਇੱਕ ਖਾਤੇ ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤੇ ਗਏ ਸਨ।

ਪਛਾਣੇ ਗਏ ਖਤਰਨਾਕ ਪੈਕੇਜ:

• ਬਿਟਕੋਇਨ-ਮੇਨ-ਲਿਬ (≈2,300 ਡਾਊਨਲੋਡ)
• ਬਿਟਕੋਇਨ-ਲਿਬ-ਜੇਐਸ (≈193 ਡਾਊਨਲੋਡ)
• bip40 (≈970 ਡਾਊਨਲੋਡ)

ਹਮਲਾਵਰਾਂ ਨੇ ਜਾਣਬੁੱਝ ਕੇ ਅਜਿਹੇ ਨਾਮ ਚੁਣੇ ਜੋ ਜਾਣੇ-ਪਛਾਣੇ ਬਿਟਕੋਇਨਜੇਐਸ ਈਕੋਸਿਸਟਮ ਤੋਂ ਜਾਇਜ਼ ਰਿਪੋਜ਼ਟਰੀਆਂ ਨਾਲ ਮਿਲਦੇ-ਜੁਲਦੇ ਹਨ, ਜੋ ਕਿ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਗੁੰਮਰਾਹ ਕਰਨ ਅਤੇ ਦੁਰਘਟਨਾ ਨਾਲ ਇੰਸਟਾਲੇਸ਼ਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਣ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਕੋਸ਼ਿਸ਼ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਸਮਝੌਤਾ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਦੋਂ bitcoin-main-lib ਜਾਂ bitcoin-lib-js ਇੰਸਟਾਲ ਹੁੰਦਾ ਹੈ। ਦੋਵਾਂ ਪੈਕੇਜਾਂ ਵਿੱਚ ਇੱਕ ਤਿਆਰ ਕੀਤੀ package.json ਫਾਈਲ ਹੁੰਦੀ ਹੈ ਜੋ ਇੱਕ postinstall.cjs ਸਕ੍ਰਿਪਟ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੀ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਚੁੱਪਚਾਪ bip40 ਨੂੰ ਖਿੱਚਦੀ ਹੈ, ਜੋ ਅਸਲ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਹੋਸਟ ਕਰਦੀ ਹੈ।

ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, bip40 ਅੰਤਿਮ ਪੇਲੋਡ ਤੈਨਾਤ ਕਰਦਾ ਹੈ: NodeCordRAT, ਬਿਲਟ-ਇਨ ਡੇਟਾ-ਹਾਰਵੈਸਟਿੰਗ ਫੰਕਸ਼ਨਾਂ ਵਾਲਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਫੀਚਰਡ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ।

NodeCordRAT ਕੀ ਹੈ?

NodeCordRAT ਦਾ ਨਾਮ ਇਸਦੇ ਦੋ ਮੁੱਖ ਡਿਜ਼ਾਈਨ ਵਿਕਲਪਾਂ ਤੋਂ ਲਿਆ ਗਿਆ ਹੈ: npm ਇਸਦੇ ਪ੍ਰਸਾਰ ਵਿਧੀ ਵਜੋਂ ਅਤੇ Discord ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਪਲੇਟਫਾਰਮ ਵਜੋਂ। ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਵਿੰਡੋਜ਼, ਲੀਨਕਸ, ਅਤੇ ਮੈਕੋਸ ਹੋਸਟਾਂ ਵਿੱਚ ਇੱਕ ਵਿਲੱਖਣ ਪਛਾਣਕਰਤਾ ਤਿਆਰ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਨੂੰ ਫਿੰਗਰਪ੍ਰਿੰਟ ਕਰਦਾ ਹੈ।

ਟ੍ਰੋਜਨ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਗੂਗਲ ਕਰੋਮ ਕ੍ਰੀਡੈਂਸ਼ੀਅਲ
• API ਟੋਕਨ
• ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲੇਟ ਦੇ ਭੇਦ, ਜਿਵੇਂ ਕਿ ਮੈਟਾਮਾਸਕ ਡੇਟਾ ਅਤੇ ਸੀਡ ਵਾਕਾਂਸ਼

ਸਾਰਾ ਇਕੱਠਾ ਕੀਤਾ ਡਾਟਾ ਡਿਸਕਾਰਡ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਰਾਹੀਂ ਹਮਲਾਵਰ ਨੂੰ ਵਾਪਸ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ।

ਡਿਸਕਾਰਡ-ਅਧਾਰਤ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ

ਰਵਾਇਤੀ C2 ਸਰਵਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, NodeCordRAT ਇੱਕ ਗੁਪਤ ਸੰਚਾਰ ਚੈਨਲ ਸਥਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਹਾਰਡ-ਕੋਡਿਡ ਡਿਸਕਾਰਡ ਸਰਵਰ ਅਤੇ ਟੋਕਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਚੈਨਲ ਰਾਹੀਂ, ਓਪਰੇਟਰ ਕਮਾਂਡਾਂ ਜਾਰੀ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਚੋਰੀ ਕੀਤਾ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ।

ਸਮਰਥਿਤ ਹਮਲਾਵਰ ਕਮਾਂਡਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• !run – Node.js ਦੇ exec ਫੰਕਸ਼ਨ ਰਾਹੀਂ ਆਰਬਿਟਰਰੀ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਓ
• !ਸਕ੍ਰੀਨਸ਼ਾਟ - ਇੱਕ ਪੂਰਾ ਡੈਸਕਟੌਪ ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ ਕਰੋ ਅਤੇ ਇਸਨੂੰ PNG ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਐਕਸਫਿਲਟ੍ਰੇਟ ਕਰੋ।
• !sendfile – ਡਿਸਕਾਰਡ ਚੈਨਲ 'ਤੇ ਇੱਕ ਨਿਰਧਾਰਤ ਸਥਾਨਕ ਫਾਈਲ ਅਪਲੋਡ ਕਰੋ।

ਡਿਸਕਾਰਡ ਦੇ API ਰਾਹੀਂ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ

ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਡਿਸਕਾਰਡ ਦੇ REST API ਰਾਹੀਂ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ। ਏਮਬੈਡਡ ਟੋਕਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਮਾਲਵੇਅਰ ਚੋਰੀ ਕੀਤੀ ਸਮੱਗਰੀ ਨੂੰ ਸਿੱਧੇ ਇੱਕ ਨਿੱਜੀ ਚੈਨਲ 'ਤੇ ਪੋਸਟ ਕਰਦਾ ਹੈ, ਐਂਡਪੁਆਇੰਟ ਰਾਹੀਂ ਫਾਈਲਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ:

/ਚੈਨਲ/{ਆਈਡੀ}/ਸੁਨੇਹੇ

ਇਹ ਪਹੁੰਚ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨਾਂ ਨੂੰ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਇਜ਼ ਡਿਸਕਾਰਡ ਗਤੀਵਿਧੀ ਨਾਲ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਖੋਜ ਨੂੰ ਹੋਰ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ ਜਿੱਥੇ ਡਿਸਕਾਰਡ ਦੀ ਆਗਿਆ ਹੈ।

ਸੁਰੱਖਿਆ ਦੇ ਪ੍ਰਭਾਵ

ਇਹ ਮੁਹਿੰਮ ਓਪਨ-ਸੋਰਸ ਈਕੋਸਿਸਟਮ ਅਤੇ ਭਰੋਸੇਮੰਦ ਸਹਿਯੋਗ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਿਰੰਤਰ ਦੁਰਵਰਤੋਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਜਾਣੇ-ਪਛਾਣੇ ਬਿਟਕੋਇਨ-ਸਬੰਧਤ ਲਾਇਬ੍ਰੇਰੀਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਣਾ ਕੇ ਅਤੇ ਇੰਸਟਾਲ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਹਥਿਆਰ ਬਣਾ ਕੇ, ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਘੱਟ-ਘ੍ਰਿਸ਼ਣ ਇਨਫੈਕਸ਼ਨ ਮਾਰਗ ਬਣਾਇਆ ਜੋ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਇੱਕ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ RAT ਪ੍ਰਦਾਨ ਕਰਨ ਦੇ ਸਮਰੱਥ ਸੀ।

ਵਿਕਾਸ ਟੀਮਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰਾਂ ਲਈ, ਇਹ ਘਟਨਾ ਡਿਸਕਾਰਡ ਵਰਗੇ ਖਪਤਕਾਰ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਜਾਣ ਵਾਲੇ ਟ੍ਰੈਫਿਕ ਲਈ ਸਖਤ ਨਿਰਭਰਤਾ ਜਾਂਚ, ਇੰਸਟਾਲ-ਟਾਈਮ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਨਿਗਰਾਨੀ, ਅਤੇ ਅਸੰਗਤਤਾ ਖੋਜ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।