Rabattoffert för flera licenser
Hotdatabas Fjärradministrationsverktyg NodeCordRAT-skadlig programvara

NodeCordRAT-skadlig programvara

Med Mezo år Fjärradministrationsverktyg
Översätt till:

Cybersäkerhetsanalytiker har upptäckt tre skadliga npm-paket som konstruerats för att distribuera en tidigare odokumenterad fjärråtkomsttrojan (RAT) som nu spåras som NodeCordRAT. Dessa paket togs bort från npm-registret i november 2025 och publicerades alla av ett konto som opererade under namnet 'wenmoonx'.

Identifierade skadliga paket:

  • bitcoin-main-lib (≈2 300 nedladdningar)
  • bitcoin-lib-js (≈193 nedladdningar)
  • bip40 (≈970 nedladdningar)

Angriparna valde medvetet namn som liknar legitima arkiv från det välkända bitcoinjs-ekosystemet, ett uppenbart försök att vilseleda utvecklare och öka sannolikheten för oavsiktlig installation.

Infektionskedja och nyttolastleverans

Komprometteringen börjar när antingen bitcoin-main-lib eller bitcoin-lib-js installeras. Båda paketen innehåller en specialdesignad package.json-fil som definierar ett postinstall.cjs-skript. Detta skript hämtar tyst bip40, som är värd för den faktiska skadliga koden.

När den är körd distribuerar bip40 den slutliga nyttolasten: NodeCordRAT, en fullfjädrad fjärråtkomsttrojan med inbyggda datainsamlingsfunktioner.

Vad är NodeCordRAT?

NodeCordRAT har fått sitt namn från dess två grundläggande designval: npm som spridningsmekanism och Discord som kommando-och-kontrollplattform (C2). Efter installationen använder den skadliga programvaran fingeravtryck från det komprometterade systemet för att generera en unik identifierare för Windows-, Linux- och macOS-värdar.

Trojanen kan samla in känslig information, inklusive:

  • Google Chrome-inloggningsuppgifter
  • API-tokens
  • Kryptovalutaplånbokshemligheter, såsom MetaMask-data och seedfraser

All insamlad data kanaliseras tillbaka till angriparen via Discords infrastruktur.

Discord-baserad kommando- och kontrollfunktion

Istället för att förlita sig på traditionella C2-servrar använder NodeCordRAT en hårdkodad Discord-server och token för att etablera en hemlig kommunikationskanal. Genom denna kanal kan operatörer utfärda kommandon och ta emot stulen data.

Angriparkommandon som stöds inkluderar:

  • !run – Kör godtyckliga shell-kommandon via Node.js exec-funktion
  • !screenshot – Ta en fullständig skärmdump av skrivbordet och exfiltrera den som en PNG-fil
  • !sendfile – Ladda upp en specifik lokal fil till Discord-kanalen

Dataexfiltrering via Discords API

Exfiltrering hanteras helt via Discords REST API. Med hjälp av den inbäddade token publicerar skadlig programvara stulet innehåll direkt till en privat kanal och bifogar filer via slutpunkten:

/kanaler/{id}/meddelanden

Denna metod gör det möjligt för hotande aktörer att blanda skadlig trafik med legitim Discord-aktivitet, vilket gör upptäckt svårare i miljöer där Discord är tillåtet.

Säkerhetskonsekvenser

Denna kampanj belyser det fortsatta missbruket av ekosystem med öppen källkod och betrodda samarbetsplattformar. Genom att utge sig för att vara välbekanta Bitcoin-relaterade bibliotek och beväpna skript efter installation skapade angriparna en friktionsfri infektionsväg som kan leverera en plattformsoberoende RAT med fokus på stöld av autentiseringsuppgifter och fjärrstyrning.

För utvecklingsteam och säkerhetsexperter förstärker incidenten vikten av strikt beroendegranskning, övervakning av skript vid installation och avvikelsedetektering för utgående trafik till konsumentplattformar som Discord.

Trendigt

Mest sedda

Läser in...