Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mjetet e administrimit në distancë NodeCordRAT Malware

NodeCordRAT Malware

Nga MezoMjetet e administrimit në distancë
Përkthe në:

Analistët e sigurisë kibernetike kanë zbuluar tre paketa dashakeqe npm të projektuara për të shpërndarë një trojan me akses në distancë (RAT) të padokumentuar më parë, i cili tani gjurmohet si NodeCordRAT. Këto paketa u hoqën nga regjistri i npm në nëntor 2025 dhe të gjitha u publikuan nga një llogari që vepronte nën emrin 'wenmoonx'.

Paketa të dëmshme të identifikuara:

  • bitcoin-main-lib (≈2,300 shkarkime)
  • bitcoin-lib-js (≈193 shkarkime)
  • bip40 (≈970 shkarkime)

Sulmuesit zgjodhën qëllimisht emra që ngjajnë shumë me depo legjitime nga ekosistemi i njohur bitcoinjs, një përpjekje e dukshme për të mashtruar zhvilluesit dhe për të rritur mundësinë e instalimit aksidental.

Zinxhiri i infeksionit dhe shpërndarja e ngarkesës së dobishme

Komprometimi fillon kur instalohet bitcoin-main-lib ose bitcoin-lib-js. Të dyja paketat përmbajnë një skedar të krijuar package.json që përcakton një skript postinstall.cjs. Ky skript në heshtje tërheq bip40, i cili strehon kodin e vërtetë keqdashës.

Pasi ekzekutohet, bip40 vendos ngarkesën përfundimtare: NodeCordRAT, një trojan me akses në distancë me funksione të integruara për mbledhjen e të dhënave.

Çfarë është NodeCordRAT?

NodeCordRAT e merr emrin nga dy zgjedhjet e tij kryesore të dizajnit: npm si mekanizëm përhapjeje dhe Discord si platformë Command-and-Control (C2). Pas instalimit, programi keqdashës gjurmon sistemin e kompromentuar për të gjeneruar një identifikues unik në të gjithë hostet Windows, Linux dhe macOS.

Trojani është i aftë të mbledhë informacione të ndjeshme, duke përfshirë:

  • Kredencialet e Google Chrome
  • API tokens
  • Sekretet e portofolit të kriptomonedhave, të tilla si të dhënat e MetaMask dhe frazat fillestare

Të gjitha të dhënat e mbledhura i kthehen sulmuesit përmes infrastrukturës së Discord.

Komanda dhe Kontrolli i Bazuar në Discord

Në vend që të mbështetet në serverat tradicionalë C2, NodeCordRAT përdor një server dhe token Discord të koduar fort për të krijuar një kanal komunikimi të fshehtë. Përmes këtij kanali, operatorët mund të lëshojnë komanda dhe të marrin të dhëna të vjedhura.

Komandat e sulmuesit të mbështetura përfshijnë:

  • !run – Ekzekuton komanda arbitrare të shell-it nëpërmjet funksionit exec të Node.js.
  • !screenshot – Kap një pamje të plotë të ekranit të desktopit dhe nxirre atë si skedar PNG
  • !sendfile – Ngarko një skedar lokal të specifikuar në kanalin Discord

Ekfiltrimi i të dhënave nëpërmjet API-t të Discord

Ekfiltrimi trajtohet tërësisht përmes REST API të Discord. Duke përdorur tokenin e integruar, malware poston përmbajtje të vjedhur direkt në një kanal privat, duke bashkëngjitur skedarë përmes pikës fundore:

/kanale/{id}/mesazhe

Kjo qasje u lejon aktorëve kërcënues të përziejnë trafikun keqdashës me aktivitetin legjitim të Discord, duke e bërë zbulimin më sfidues në mjediset ku lejohet Discord.

Implikimet e Sigurisë

Kjo fushatë nxjerr në pah abuzimin e vazhdueshëm të ekosistemeve me burim të hapur dhe platformave të besueshme të bashkëpunimit. Duke u maskuar si biblioteka të njohura të lidhura me Bitcoin dhe duke i përdorur si armë skriptet pas instalimit, sulmuesit krijuan një rrugë infeksioni me fërkim të ulët të aftë për të ofruar një RAT ndërplatformë të fokusuar në vjedhjen e kredencialeve dhe kontrollin në distancë.

Për ekipet e zhvillimit dhe profesionistët e sigurisë, incidenti përforcon rëndësinë e verifikimit të rreptë të varësive, monitorimit të skripteve në kohën e instalimit dhe zbulimit të anomalive për trafikun dalës drejt platformave të konsumatorëve si Discord.

Në trend

Më e shikuara

Po ngarkohet...