Malware NodeCordRAT
Analistas de cibersegurança descobriram três pacotes npm maliciosos projetados para distribuir um trojan de acesso remoto (RAT) até então desconhecido, agora rastreado como NodeCordRAT. Esses pacotes foram removidos do registro npm em novembro de 2025 e foram todos publicados por uma conta que operava sob o nome 'wenmoonx'.
Pacotes maliciosos identificados:
- bitcoin-main-lib (≈2.300 downloads)
- bitcoin-lib-js (≈193 downloads)
- bip40 (≈970 downloads)
Os atacantes escolheram deliberadamente nomes que se assemelham muito a repositórios legítimos do conhecido ecossistema bitcoinjs, numa aparente tentativa de enganar os desenvolvedores e aumentar a probabilidade de instalação acidental.
Índice
Cadeia de infecção e entrega da carga útil
A invasão começa quando o pacote bitcoin-main-lib ou bitcoin-lib-js é instalado. Ambos os pacotes contêm um arquivo package.json manipulado que define um script postinstall.cjs. Esse script instala silenciosamente o bip40, que hospeda o código malicioso.
Após a execução, o bip40 implanta a carga útil final: NodeCordRAT, um trojan de acesso remoto completo com funções integradas de coleta de dados.
O que é NodeCordRAT?
O NodeCordRAT deriva seu nome de suas duas principais escolhas de design: o npm como mecanismo de propagação e o Discord como plataforma de Comando e Controle (C2). Após a instalação, o malware identifica o sistema comprometido para gerar um identificador único em hosts Windows, Linux e macOS.
O cavalo de Troia é capaz de coletar informações confidenciais, incluindo:
- Credenciais do Google Chrome
- Tokens de API
- Segredos de carteiras de criptomoedas, como dados do MetaMask e frases-semente.
Todos os dados coletados são enviados de volta ao atacante através da infraestrutura do Discord.
Comando e controle baseados no Discord
Em vez de depender de servidores C2 tradicionais, o NodeCordRAT usa um servidor Discord e um token embutidos no código para estabelecer um canal de comunicação secreto. Por meio desse canal, os operadores podem emitir comandos e receber dados roubados.
Os comandos suportados pelo atacante incluem:
- !run – Executa comandos arbitrários do shell através da função exec do Node.js
- !screenshot – Captura uma captura de tela completa da área de trabalho e a extrai como um arquivo PNG.
- !sendfile – Enviar um arquivo local específico para o canal do Discord
Exfiltração de dados via API do Discord
A exfiltração é feita inteiramente através da API REST do Discord. Usando o token embutido, o malware publica o conteúdo roubado diretamente em um canal privado, anexando arquivos através do endpoint:
/canais/{id}/mensagens
Essa abordagem permite que agentes maliciosos misturem tráfego malicioso com atividades legítimas do Discord, tornando a detecção mais difícil em ambientes onde o Discord é permitido.
Implicações de segurança
Esta campanha destaca o abuso contínuo de ecossistemas de código aberto e plataformas de colaboração confiáveis. Ao se disfarçarem de bibliotecas conhecidas relacionadas ao Bitcoin e utilizarem scripts pós-instalação como armas, os atacantes criaram um caminho de infecção fácil de usar, capaz de distribuir um RAT multiplataforma focado em roubo de credenciais e controle remoto.
Para equipes de desenvolvimento e profissionais de segurança, o incidente reforça a importância da verificação rigorosa de dependências, do monitoramento de scripts de instalação e da detecção de anomalias no tráfego de saída para plataformas de consumo, como o Discord.
