Škodlivý softvér NodeCordRAT

Analytici kybernetickej bezpečnosti odhalili tri škodlivé balíky npm navrhnuté na distribúciu predtým nezdokumentovaného trójskeho koňa pre vzdialený prístup (RAT), ktorý je teraz sledovaný ako NodeCordRAT. Tieto balíky boli odstránené z registra npm v novembri 2025 a všetky boli publikované účtom fungujúcim pod menom „wenmoonx“.

Identifikované škodlivé balíky:

• bitcoin-main-lib (≈2 300 stiahnutí)
• bitcoin-lib-js (≈193 stiahnutí)
• bip40 (≈970 stiahnutí)

Útočníci zámerne vybrali názvy, ktoré sa veľmi podobajú legitímnym repozitárom zo známeho ekosystému bitcoinjs, čo je zjavný pokus o zavádzanie vývojárov a zvýšenie pravdepodobnosti náhodnej inštalácie.

Reťazec infekcie a doručenie užitočného zaťaženia

Kompromitácia začína inštaláciou balíka bitcoin-main-lib alebo bitcoin-lib-js. Oba balíky obsahujú vytvorený súbor package.json, ktorý definuje skript postinstall.cjs. Tento skript potichu načíta súbor bip40, ktorý hostí skutočný škodlivý kód.

Po spustení bip40 nasadí finálnu dátovú záťaž: NodeCordRAT, plne funkčný trójsky kôň pre vzdialený prístup so vstavanými funkciami zberu údajov.

Čo je NodeCordRAT?

Názov NodeCordRAT je odvodený od dvoch základných dizajnových riešení: npm ako mechanizmus šírenia a Discord ako platforma Command-and-Control (C2). Po inštalácii malvér odtlačkom prsta zachytí napadnutý systém a vygeneruje jedinečný identifikátor na hostiteľských systémoch Windows, Linux a macOS.

Trójsky kôň je schopný zhromažďovať citlivé informácie vrátane:

• Prihlasovacie údaje prehliadača Google Chrome
• Tokeny API
• Tajomstvá kryptomenovej peňaženky, ako sú údaje MetaMask a seed frázy

Všetky zhromaždené údaje sa útočníkovi prenášajú späť prostredníctvom infraštruktúry Discordu.

Velenie a riadenie založené na Discorde

Namiesto spoliehania sa na tradičné servery C2 používa NodeCordRAT pevne zakódovaný server Discord a token na vytvorenie skrytého komunikačného kanála. Prostredníctvom tohto kanála môžu operátori vydávať príkazy a prijímať ukradnuté údaje.

Medzi podporované príkazy útočníka patria:

• !run – Vykoná ľubovoľné príkazy shellu pomocou funkcie exec v Node.js
• !screenshot – Zachytenie celej snímky obrazovky pracovnej plochy a jej export do súboru PNG
• !sendfile – Nahrať zadaný lokálny súbor do Discord kanála

Exfiltrácia dát cez Discord API

Únik obsahu je zabezpečený výlučne cez REST API rozhranie Discord. Pomocou vloženého tokenu malvér odosiela ukradnutý obsah priamo do súkromného kanála a pripája súbory cez koncový bod:

/kanály/{id}/správy

Tento prístup umožňuje aktérom miešať škodlivú prevádzku s legitímnou aktivitou na Discorde, čo sťažuje detekciu v prostrediach, kde je Discord povolený.

Bezpečnostné dôsledky

Táto kampaň poukazuje na pokračujúce zneužívanie ekosystémov s otvoreným zdrojovým kódom a dôveryhodných platforiem pre spoluprácu. Maskovaním sa za známe knižnice súvisiace s Bitcoinom a zneužívaním skriptov po inštalácii ako zbraní vytvorili útočníci cestu infekcie s nízkym trením, ktorá je schopná poskytnúť multiplatformovú RAT zameranú na krádež prihlasovacích údajov a diaľkové ovládanie.

Pre vývojové tímy a bezpečnostných profesionálov tento incident zdôrazňuje dôležitosť prísneho overovania závislostí, monitorovania skriptov počas inštalácie a detekcie anomálií pre odchádzajúcu prevádzku na spotrebiteľské platformy, ako je Discord.