Zlonamerna programska oprema NodeCordRAT
Analitiki kibernetske varnosti so odkrili tri zlonamerne pakete npm, zasnovane za distribucijo prej nedokumentiranega trojanca za oddaljeni dostop (RAT), ki je zdaj označen kot NodeCordRAT. Ti paketi so bili odstranjeni iz registra npm novembra 2025 in jih je vse objavil račun, ki deluje pod imenom »wenmoonx«.
Identificirani zlonamerni paketi:
- bitcoin-main-lib (≈2.300 prenosov)
- bitcoin-lib-js (≈193 prenosov)
- bip40 (≈970 prenosov)
Napadalci so namerno izbrali imena, ki so zelo podobna legitimnim repozitorijem iz dobro znanega ekosistema bitcoinjs, kar je očiten poskus zavajanja razvijalcev in povečanja verjetnosti nenamerne namestitve.
Kazalo
Veriga okužbe in dostava koristnega tovora
Do vdora pride, ko je nameščena datoteka bitcoin-main-lib ali bitcoin-lib-js. Oba paketa vsebujeta izdelano datoteko package.json, ki definira skript postinstall.cjs. Ta skript tiho potegne bip40, ki gosti dejansko zlonamerno kodo.
Ko se izvede, bip40 namesti končni koristni tovor: NodeCordRAT, trojanca za oddaljeni dostop z vgrajenimi funkcijami za zbiranje podatkov.
Kaj je NodeCordRAT?
NodeCordRAT je dobil ime po dveh ključnih zasnovah: npm kot mehanizem širjenja in Discord kot platforma za upravljanje in nadzor (C2). Po namestitvi zlonamerna programska oprema odtisne ogroženi sistem in ustvari edinstven identifikator v gostiteljskih sistemih Windows, Linux in macOS.
Trojanec je sposoben zbirati občutljive podatke, vključno z:
- Poverilnice za Google Chrome
- Žetoni API-ja
- Skrivnosti denarnice za kriptovalute, kot so podatki MetaMask in semenske fraze
Vsi zbrani podatki se prek Discordove infrastrukture posredujejo nazaj napadalcu.
Upravljanje in nadzor na osnovi Discorda
Namesto zanašanja na tradicionalne strežnike C2, NodeCordRAT uporablja trdo kodiran strežnik Discord in žeton za vzpostavitev prikritega komunikacijskega kanala. Prek tega kanala lahko operaterji izdajajo ukaze in prejemajo ukradene podatke.
Podprti ukazi napadalca vključujejo:
- !run – Izvedi poljubne ukaze lupine prek funkcije exec v Node.js
- !screenshot – Zajemite posnetek zaslona celotnega namizja in ga izvlecite kot datoteko PNG
- !sendfile – Naloži določeno lokalno datoteko v Discord kanal
Izločanje podatkov prek Discord API-ja
Izločitev se v celoti izvaja prek Discord-ovega REST API-ja. Zlonamerna programska oprema s pomočjo vdelanega žetona objavi ukradeno vsebino neposredno v zasebnem kanalu in priloži datoteke prek končne točke:
/kanali/{id}/sporočila
Ta pristop omogoča akterjem groženj, da zlonamerni promet združijo z legitimno dejavnostjo Discorda, zaradi česar je odkrivanje v okoljih, kjer je Discord dovoljen, težje.
Varnostne posledice
Ta kampanja poudarja nenehno zlorabo odprtokodnih ekosistemov in zaupanja vrednih platform za sodelovanje. Z maskiranjem v znane knjižnice, povezane z Bitcoinom, in uporabo skriptov po namestitvi kot orožja so napadalci ustvarili pot okužbe z nizkim trenjem, ki lahko zagotovi večplatformsko RAT, osredotočeno na krajo poverilnic in daljinski nadzor.
Za razvojne ekipe in varnostne strokovnjake incident poudarja pomen strogega preverjanja odvisnosti, spremljanja skriptov med namestitvijo in odkrivanja anomalij pri odhodnem prometu na potrošniške platforme, kot je Discord.
