Злонамерни софтвер NodeCordRAT
Аналитичари сајбер безбедности открили су три злонамерна npm пакета направљена за дистрибуцију раније недокументованог тројанског коња за удаљени приступ (RAT) који се сада прати као NodeCordRAT. Ови пакети су уклоњени из npm регистра у новембру 2025. године и сви су објављени од стране налога који послује под именом „wenmoonx“.
Идентификовани злонамерни пакети:
- bitcoin-main-lib (≈2.300 преузимања)
- bitcoin-lib-js (≈193 преузимања)
- bip40 (≈970 преузимања)
Нападачи су намерно бирали имена која веома подсећају на легитимне репозиторијуме из добро познатог екосистема bitcoinjs, што је очигледан покушај да се програмери доведу у заблуду и повећа вероватноћа случајне инсталације.
Преглед садржаја
Ланац инфекције и испорука корисног терета
Компромитовање почиње када се инсталира или bitcoin-main-lib или bitcoin-lib-js. Оба пакета садрже креирану датотеку package.json која дефинише скрипту postinstall.cjs. Ова скрипта тихо увлачи bip40, који садржи стварни злонамерни код.
Једном извршен, bip40 распоређује коначни корисни терет: NodeCordRAT, тројанца са пуним функцијама за даљински приступ и уграђеним функцијама за прикупљање података.
Шта је NodeCordRAT?
NodeCordRAT је добио име по своја два основна дизајнерска избора: npm као механизам за пропагацију и Discord као платформа за командовање и контролу (C2). Након инсталације, злонамерни софтвер идентификује компромитованог система како би генерисао јединствени идентификатор на Windows, Linux и macOS хостовима.
Тројанац је способан да прикупља осетљиве информације, укључујући:
- Акредитиви за Google Chrome
- API токени
- Тајне криптовалутних новчаника, као што су подаци о MetaMask-у и семенске фразе
Сви прикупљени подаци се враћају нападачу путем Дискордове инфраструктуре.
Командовање и контрола заснована на Discord-у
Уместо ослањања на традиционалне C2 сервере, NodeCordRAT користи хард-кодирани Discord сервер и токен за успостављање тајног комуникационог канала. Преко овог канала, оператери могу издавати команде и примати украдене податке.
Подржане команде нападача укључују:
- !run – Извршава произвољне команде шелла помоћу функције exec библиотеке Node.js
- !screenshot – Направите снимак екрана целе радне површине и претворите га у PNG датотеку
- !sendfile – Отпремите одређену локалну датотеку на Discord канал
Ексфилтрација података путем Дискордовог АПИ-ја
Крађа се у потпуности обавља путем Discord-овог REST API-ја. Користећи уграђени токен, злонамерни софтвер објављује украдени садржај директно на приватни канал, прилажући датотеке преко крајње тачке:
/канали/{ид}/поруке
Овај приступ омогућава актерима претњи да помешају злонамерни саобраћај са легитимним активностима на Дискорду, што отежава откривање у окружењима где је Дискорд дозвољен.
Безбедносне импликације
Ова кампања истиче континуирану злоупотребу екосистема отвореног кода и поузданих платформи за сарадњу. Маскирањем у познате библиотеке повезане са Биткоином и коришћењем пост-инсталационих скрипти као оружја, нападачи су створили пут инфекције са ниским трењем, способан да испоручи вишеплатформски RAT фокусиран на крађу акредитива и даљинско управљање.
За развојне тимове и стручњаке за безбедност, инцидент појачава важност строге провере зависности, праћења скрипти за време инсталације и откривања аномалија за одлазни саобраћај ка потрошачким платформама као што је Discord.
