Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Instrumente de administrare la distanță Programe malware NodeCordRAT

Programe malware NodeCordRAT

Până în Mezo în Instrumente de administrare la distanță
Tradu in:

Analiștii în domeniul securității cibernetice au descoperit trei pachete npm malițioase, concepute pentru a distribui un troian de acces la distanță (RAT) nedocumentat anterior, acum urmărit ca NodeCordRAT. Aceste pachete au fost eliminate din registrul npm în noiembrie 2025 și au fost toate publicate de un cont care opera sub numele „wenmoonx”.

Pachete rău intenționate identificate:

  • bitcoin-main-lib (≈2.300 de descărcări)
  • bitcoin-lib-js (≈193 descărcări)
  • bip40 (≈970 descărcări)

Atacatorii au selectat în mod deliberat nume care seamănă foarte mult cu repozitorii legitime din cunoscutul ecosistem bitcoinjs, o încercare aparentă de a induce în eroare dezvoltatorii și de a crește probabilitatea instalării accidentale.

Lanțul de infecție și livrarea încărcăturii utile

Compromisul începe atunci când se instalează fie bitcoin-main-lib, fie bitcoin-lib-js. Ambele pachete conțin un fișier package.json creat special, care definește un script postinstall.cjs. Acest script extrage în mod silențios bip40, care găzduiește codul malițios propriu-zis.

Odată executat, bip40 implementează sarcina utilă finală: NodeCordRAT, un troian de acces la distanță complet funcțional, cu funcții încorporate de recoltare a datelor.

Ce este NodeCordRAT?

NodeCordRAT își derivă numele de la cele două alegeri principale de design: npm ca mecanism de propagare și Discord ca platformă de comandă și control (C2). După instalare, malware-ul amprentează sistemul compromis pentru a genera un identificator unic pe gazdele Windows, Linux și macOS.

Trojanul este capabil să colecteze informații sensibile, inclusiv:

  • Acreditări Google Chrome
  • Jetoane API
  • Secretele portofelului de criptomonede, cum ar fi datele MetaMask și frazele inițiale

Toate datele colectate sunt redirecționate către atacator prin infrastructura Discord.

Comandă și control bazate pe discordie

În loc să se bazeze pe serverele C2 tradiționale, NodeCordRAT folosește un server Discord hard-coded și un token pentru a stabili un canal de comunicații secret. Prin intermediul acestui canal, operatorii pot emite comenzi și pot primi date furate.

Comenzile atacatorilor acceptate includ:

  • !run – Execută comenzi shell arbitrare prin funcția exec a Node.js
  • !screenshot – Faceți o captură de ecran completă a desktopului și extrageți-o ca fișier PNG
  • !sendfile – Încarcă un fișier local specificat pe canalul Discord

Exfiltrarea datelor prin API-ul Discord

Exfiltrarea este gestionată în întregime prin API-ul REST al Discord. Folosind token-ul încorporat, malware-ul postează conținut furat direct pe un canal privat, atașând fișiere prin endpoint:

/canale/{id}/mesaje

Această abordare permite actorilor amenințători să combine traficul malițios cu activitatea legitimă de pe Discord, ceea ce face ca detectarea să fie mai dificilă în mediile în care Discord este permis.

Implicații de securitate

Această campanie evidențiază abuzul continuu al ecosistemelor open-source și al platformelor de colaborare de încredere. Deghizate în biblioteci familiare legate de Bitcoin și transformând scripturi post-instalare în arme, atacatorii au creat o cale de infectare cu frecare redusă, capabilă să ofere un RAT multi-platformă axat pe furtul de acreditări și controlul de la distanță.

Pentru echipele de dezvoltare și profesioniștii în domeniul securității, incidentul întărește importanța verificării stricte a dependențelor, a monitorizării scripturilor la momentul instalării și a detectării anomaliilor pentru traficul de ieșire către platforme de consum precum Discord.

Trending

Cele mai văzute

Se încarcă...