NodeCordRAT Malware

சைபர் பாதுகாப்பு ஆய்வாளர்கள், முன்னர் ஆவணப்படுத்தப்படாத ரிமோட் அக்சஸ் ட்ரோஜனை (RAT) விநியோகிக்க வடிவமைக்கப்பட்ட மூன்று தீங்கிழைக்கும் npm தொகுப்புகளைக் கண்டுபிடித்துள்ளனர், இப்போது NodeCordRAT என கண்காணிக்கப்படுகிறது. இந்த தொகுப்புகள் நவம்பர் 2025 இல் npm பதிவேட்டில் இருந்து அகற்றப்பட்டன, மேலும் அவை அனைத்தும் 'wenmoonx' என்ற பெயரில் இயங்கும் ஒரு கணக்கால் வெளியிடப்பட்டன.

அடையாளம் காணப்பட்ட தீங்கிழைக்கும் தொகுப்புகள்:

• பிட்காயின்-மெயின்-லிப் (≈2,300 பதிவிறக்கங்கள்)
• bitcoin-lib-js (≈193 பதிவிறக்கங்கள்)
• bip40 (≈970 பதிவிறக்கங்கள்)

தாக்குபவர்கள் வேண்டுமென்றே நன்கு அறியப்பட்ட பிட்காயின்ஜேஎஸ் சுற்றுச்சூழல் அமைப்பிலிருந்து முறையான களஞ்சியங்களை ஒத்த பெயர்களைத் தேர்ந்தெடுத்தனர், இது டெவலப்பர்களை தவறாக வழிநடத்தவும் தற்செயலான நிறுவலுக்கான வாய்ப்பை அதிகரிக்கவும் ஒரு வெளிப்படையான முயற்சியாகும்.

தொற்று சங்கிலி மற்றும் சுமை விநியோகம்

bitcoin-main-lib அல்லது bitcoin-lib-js நிறுவப்பட்டவுடன் சமரசம் தொடங்குகிறது. இரண்டு தொகுப்புகளிலும் postinstall.cjs ஸ்கிரிப்டை வரையறுக்கும் ஒரு வடிவமைக்கப்பட்ட package.json கோப்பு உள்ளது. இந்த ஸ்கிரிப்ட் அமைதியாக bip40 ஐ இழுக்கிறது, இது உண்மையான தீங்கிழைக்கும் குறியீட்டை ஹோஸ்ட் செய்கிறது.

செயல்படுத்தப்பட்டதும், bip40 இறுதி பேலோடை பயன்படுத்துகிறது: NodeCordRAT, உள்ளமைக்கப்பட்ட தரவு அறுவடை செயல்பாடுகளைக் கொண்ட முழுமையாக இடம்பெற்ற தொலைநிலை அணுகல் ட்ரோஜன்.

நோட்கார்ட்ராட் என்றால் என்ன?

NodeCordRAT அதன் இரண்டு முக்கிய வடிவமைப்பு தேர்வுகளிலிருந்து அதன் பெயரைப் பெற்றது: npm அதன் பரவல் பொறிமுறையாகவும், Discord அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) தளமாகவும் உள்ளது. நிறுவிய பின், தீம்பொருள் விண்டோஸ், லினக்ஸ் மற்றும் மேகோஸ் ஹோஸ்ட்களில் ஒரு தனித்துவமான அடையாளங்காட்டியை உருவாக்க சமரசம் செய்யப்பட்ட அமைப்பை கைரேகை செய்கிறது.

ட்ரோஜன் முக்கியமான தகவல்களை சேகரிக்கும் திறன் கொண்டது, அவற்றுள்:

• கூகிள் குரோம் சான்றுகள்
• API டோக்கன்கள்
• மெட்டாமாஸ்க் தரவு மற்றும் விதை சொற்றொடர்கள் போன்ற கிரிப்டோகரன்சி வாலட் ரகசியங்கள்

சேகரிக்கப்பட்ட அனைத்து தரவுகளும் டிஸ்கார்டின் உள்கட்டமைப்பு மூலம் தாக்குபவருக்கு மீண்டும் அனுப்பப்படுகின்றன.

டிஸ்கார்ட் அடிப்படையிலான கட்டளை மற்றும் கட்டுப்பாடு

பாரம்பரிய C2 சேவையகங்களை நம்புவதற்குப் பதிலாக, NodeCordRAT ஒரு ரகசிய தகவல் தொடர்பு சேனலை நிறுவ கடின-குறியிடப்பட்ட டிஸ்கார்ட் சர்வர் மற்றும் டோக்கனைப் பயன்படுத்துகிறது. இந்த சேனலின் மூலம், ஆபரேட்டர்கள் கட்டளைகளை வழங்கலாம் மற்றும் திருடப்பட்ட தரவைப் பெறலாம்.

ஆதரிக்கப்படும் தாக்குபவர் கட்டளைகளில் பின்வருவன அடங்கும்:

• !run – Node.js இன் exec செயல்பாடு வழியாக தன்னிச்சையான ஷெல் கட்டளைகளை இயக்கவும்.
• !screenshot – முழு டெஸ்க்டாப் ஸ்கிரீன்ஷாட்டைப் பிடித்து, அதை PNG கோப்பாக வெளியேற்றவும்.
• !sendfile – Discord சேனலில் ஒரு குறிப்பிட்ட உள்ளூர் கோப்பை பதிவேற்றவும்.

டிஸ்கார்டின் API வழியாக தரவு வெளியேற்றம்

வெளியேற்றம் முழுவதுமாக Discord இன் REST API மூலம் கையாளப்படுகிறது. உட்பொதிக்கப்பட்ட டோக்கனைப் பயன்படுத்தி, தீம்பொருள் திருடப்பட்ட உள்ளடக்கத்தை நேரடியாக ஒரு தனியார் சேனலுக்கு இடுகையிடுகிறது, இறுதிப் புள்ளி வழியாக கோப்புகளை இணைக்கிறது:

/சேனல்கள்/{id}/செய்திகள்

இந்த அணுகுமுறை அச்சுறுத்தல் செய்பவர்களுக்கு தீங்கிழைக்கும் போக்குவரத்தை முறையான டிஸ்கார்ட் செயல்பாட்டுடன் கலக்க அனுமதிக்கிறது, இது டிஸ்கார்ட் அனுமதிக்கப்பட்ட சூழல்களில் கண்டறிதலை மிகவும் சவாலானதாக ஆக்குகிறது.

பாதுகாப்பு தாக்கங்கள்

இந்த பிரச்சாரம் திறந்த மூல சுற்றுச்சூழல் அமைப்புகள் மற்றும் நம்பகமான ஒத்துழைப்பு தளங்களின் தொடர்ச்சியான துஷ்பிரயோகத்தை எடுத்துக்காட்டுகிறது. பழக்கமான பிட்காயின் தொடர்பான நூலகங்களாக மாறுவேடமிட்டு, நிறுவலுக்குப் பிந்தைய ஸ்கிரிப்ட்களை ஆயுதமாக்குவதன் மூலம், தாக்குபவர்கள் நற்சான்றிதழ் திருட்டு மற்றும் ரிமோட் கண்ட்ரோலில் கவனம் செலுத்தும் குறுக்கு-தளம் RAT ஐ வழங்கக்கூடிய குறைந்த உராய்வு தொற்று பாதையை உருவாக்கினர்.

மேம்பாட்டுக் குழுக்கள் மற்றும் பாதுகாப்பு நிபுணர்களுக்கு, இந்த சம்பவம் கடுமையான சார்பு சரிபார்ப்பு, நிறுவல் நேர ஸ்கிரிப்ட்களைக் கண்காணித்தல் மற்றும் டிஸ்கார்ட் போன்ற நுகர்வோர் தளங்களுக்கு வெளிச்செல்லும் போக்குவரத்திற்கான ஒழுங்கின்மை கண்டறிதல் ஆகியவற்றின் முக்கியத்துவத்தை வலுப்படுத்துகிறது.