Вредоносная программа NodeCordRAT
Аналитики в области кибербезопасности обнаружили три вредоносных пакета npm, предназначенных для распространения ранее не описанного трояна удаленного доступа (RAT), теперь известного как NodeCordRAT. Эти пакеты были удалены из реестра npm в ноябре 2025 года и были опубликованы учетной записью, работающей под именем «wenmoonx».
Выявлены вредоносные пакеты:
- bitcoin-main-lib (≈2300 загрузок)
- bitcoin-lib-js (≈193 загрузки)
- bip40 (≈970 загрузок)
Злоумышленники намеренно выбрали названия, очень похожие на названия легитимных репозиториев из известной экосистемы bitcoinjs, очевидно, пытаясь ввести разработчиков в заблуждение и повысить вероятность случайной установки.
Оглавление
Цепочка заражения и доставка полезной нагрузки
Компрометация начинается при установке либо bitcoin-main-lib, либо bitcoin-lib-js. Оба пакета содержат специально созданный файл package.json, определяющий скрипт postinstall.cjs. Этот скрипт незаметно подключает bip40, содержащий фактический вредоносный код.
После запуска bip40 развертывает финальную полезную нагрузку: NodeCordRAT, полнофункциональный троян удаленного доступа со встроенными функциями сбора данных.
Что такое NodeCordRAT?
NodeCordRAT получил свое название от двух основных принципов своей архитектуры: npm в качестве механизма распространения и Discord в качестве платформы управления и контроля (C2). После установки вредоносная программа создает отпечаток скомпрометированной системы, генерируя уникальный идентификатор для хостов Windows, Linux и macOS.
Троянская программа способна собирать конфиденциальную информацию, в том числе:
- учетные данные Google Chrome
- API-токены
- Секреты криптокошелька, такие как данные MetaMask и сид-фразы.
Все собранные данные передаются злоумышленнику через инфраструктуру Discord.
Управление и контроль на основе Discord
Вместо традиционных серверов управления и контроля (C2) NodeCordRAT использует встроенный сервер Discord и токен для создания скрытого канала связи. Через этот канал операторы могут отдавать команды и получать украденные данные.
К числу поддерживаемых команд злоумышленников относятся:
- !run – Выполнение произвольных команд оболочки с помощью функции exec в Node.js
- !screenshot – Сделать снимок экрана всего рабочего стола и сохранить его в виде файла PNG.
- !sendfile – Загрузить указанный локальный файл в канал Discord
Утечка данных через API Discord
Эксфильтрация данных осуществляется исключительно через REST API Discord. Используя встроенный токен, вредоносная программа отправляет украденный контент непосредственно в закрытый канал, прикрепляя файлы через конечную точку:
/channels/{id}/messages
Такой подход позволяет злоумышленникам смешивать вредоносный трафик с легитимной активностью в Discord, что затрудняет обнаружение в средах, где использование Discord разрешено.
Последствия для безопасности
Эта кампания подчеркивает продолжающееся злоупотребление экосистемами с открытым исходным кодом и надежными платформами для совместной работы. Маскируясь под знакомые библиотеки, связанные с биткоином, и используя скрипты, запускаемые после установки, злоумышленники создали простой путь заражения, позволяющий распространять кроссплатформенный RAT (удаленный хакерский агент), ориентированный на кражу учетных данных и удаленное управление.
Для команд разработчиков и специалистов по безопасности этот инцидент подчеркивает важность тщательной проверки зависимостей, мониторинга скриптов, выполняющихся во время установки, и обнаружения аномалий в исходящем трафике на потребительские платформы, такие как Discord.
