NodeCordRAT Malware

సైబర్ సెక్యూరిటీ విశ్లేషకులు గతంలో నమోదు చేయని రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ను పంపిణీ చేయడానికి రూపొందించబడిన మూడు హానికరమైన npm ప్యాకేజీలను కనుగొన్నారు, ఇప్పుడు NodeCordRATగా ట్రాక్ చేయబడింది. ఈ ప్యాకేజీలను నవంబర్ 2025లో npm రిజిస్ట్రీ నుండి తొలగించారు మరియు అవన్నీ 'wenmoonx' పేరుతో పనిచేస్తున్న ఖాతా ద్వారా ప్రచురించబడ్డాయి.

గుర్తించబడిన హానికరమైన ప్యాకేజీలు:

• బిట్‌కాయిన్-మెయిన్-లిబ్ (≈2,300 డౌన్‌లోడ్‌లు)
• బిట్‌కాయిన్-లిబ్-జెఎస్ (≈193 డౌన్‌లోడ్‌లు)
• bip40 (≈970 డౌన్‌లోడ్‌లు)

దాడి చేసినవారు ఉద్దేశపూర్వకంగా ప్రసిద్ధ బిట్‌కాయిన్‌జెఎస్ పర్యావరణ వ్యవస్థ నుండి చట్టబద్ధమైన రిపోజిటరీలను పోలి ఉండే పేర్లను ఎంచుకున్నారు, ఇది డెవలపర్‌లను తప్పుదారి పట్టించడానికి మరియు ప్రమాదవశాత్తు ఇన్‌స్టాలేషన్ సంభావ్యతను పెంచడానికి ఒక స్పష్టమైన ప్రయత్నం.

ఇన్ఫెక్షన్ చైన్ మరియు పేలోడ్ డెలివరీ

bitcoin-main-lib లేదా bitcoin-lib-js ఇన్‌స్టాల్ చేయబడినప్పుడు రాజీ ప్రారంభమవుతుంది. రెండు ప్యాకేజీలు postinstall.cjs స్క్రిప్ట్‌ను నిర్వచించే క్రాఫ్టెడ్ ప్యాకేజీ.json ఫైల్‌ను కలిగి ఉంటాయి. ఈ స్క్రిప్ట్ నిశ్శబ్దంగా bip40ని లాగుతుంది, ఇది వాస్తవ హానికరమైన కోడ్‌ను హోస్ట్ చేస్తుంది.

అమలు చేయబడిన తర్వాత, bip40 తుది పేలోడ్‌ను అమలు చేస్తుంది: NodeCordRAT, అంతర్నిర్మిత డేటా-హార్వెస్టింగ్ ఫంక్షన్‌లతో పూర్తిగా ఫీచర్ చేయబడిన రిమోట్ యాక్సెస్ ట్రోజన్.

నోడ్‌కార్డ్‌రాట్ అంటే ఏమిటి?

NodeCordRAT దాని రెండు ప్రధాన డిజైన్ ఎంపికల నుండి దాని పేరును పొందింది: npm దాని ప్రచార విధానం మరియు డిస్కార్డ్ దాని కమాండ్-అండ్-కంట్రోల్ (C2) ప్లాట్‌ఫారమ్. ఇన్‌స్టాలేషన్ తర్వాత, మాల్వేర్ Windows, Linux మరియు macOS హోస్ట్‌లలో ఒక ప్రత్యేకమైన ఐడెంటిఫైయర్‌ను రూపొందించడానికి రాజీపడిన సిస్టమ్‌ను వేలిముద్ర వేస్తుంది.

ట్రోజన్ సున్నితమైన సమాచారాన్ని సేకరించగలదు, వాటిలో:

• Google Chrome ఆధారాలు
• API టోకెన్లు
• మెటామాస్క్ డేటా మరియు సీడ్ పదబంధాలు వంటి క్రిప్టోకరెన్సీ వాలెట్ రహస్యాలు

సేకరించిన మొత్తం డేటా డిస్కార్డ్ యొక్క మౌలిక సదుపాయాల ద్వారా దాడి చేసేవారికి తిరిగి పంపబడుతుంది.

డిస్కార్డ్-బేస్డ్ కమాండ్ అండ్ కంట్రోల్

సాంప్రదాయ C2 సర్వర్‌లపై ఆధారపడటానికి బదులుగా, NodeCordRAT ఒక రహస్య కమ్యూనికేషన్ ఛానెల్‌ను స్థాపించడానికి హార్డ్-కోడెడ్ డిస్కార్డ్ సర్వర్ మరియు టోకెన్‌ను ఉపయోగిస్తుంది. ఈ ఛానెల్ ద్వారా, ఆపరేటర్లు ఆదేశాలను జారీ చేయవచ్చు మరియు దొంగిలించబడిన డేటాను స్వీకరించవచ్చు.

మద్దతు ఉన్న దాడి చేసేవారి ఆదేశాలలో ఇవి ఉన్నాయి:

• !run – Node.js యొక్క exec ఫంక్షన్ ద్వారా ఏకపక్ష షెల్ ఆదేశాలను అమలు చేయండి
• !screenshot – పూర్తి డెస్క్‌టాప్ స్క్రీన్‌షాట్‌ను సంగ్రహించి, దానిని PNG ఫైల్‌గా ఎక్స్‌ఫిల్ట్రేట్ చేయండి
• !sendfile – పేర్కొన్న స్థానిక ఫైల్‌ను డిస్కార్డ్ ఛానెల్‌కు అప్‌లోడ్ చేయండి

డిస్కార్డ్ API ద్వారా డేటా ఎక్స్‌ఫిల్ట్రేషన్

ఎక్స్‌ఫిల్ట్రేషన్ పూర్తిగా డిస్కార్డ్ యొక్క REST API ద్వారా నిర్వహించబడుతుంది. ఎంబెడెడ్ టోకెన్‌ని ఉపయోగించి, మాల్వేర్ దొంగిలించబడిన కంటెంట్‌ను నేరుగా ప్రైవేట్ ఛానెల్‌కు పోస్ట్ చేస్తుంది, ఎండ్‌పాయింట్ ద్వారా ఫైల్‌లను అటాచ్ చేస్తుంది:

/ఛానెల్స్/{id}/సందేశాలు

ఈ విధానం బెదిరింపు నటులను హానికరమైన ట్రాఫిక్‌ను చట్టబద్ధమైన డిస్కార్డ్ కార్యాచరణతో కలపడానికి అనుమతిస్తుంది, డిస్కార్డ్ అనుమతించబడిన వాతావరణాలలో గుర్తింపును మరింత సవాలుగా చేస్తుంది.

భద్రతా చిక్కులు

ఈ ప్రచారం ఓపెన్-సోర్స్ పర్యావరణ వ్యవస్థలు మరియు విశ్వసనీయ సహకార ప్లాట్‌ఫారమ్‌ల నిరంతర దుర్వినియోగాన్ని హైలైట్ చేస్తుంది. సుపరిచితమైన బిట్‌కాయిన్-సంబంధిత లైబ్రరీలుగా మారడం ద్వారా మరియు పోస్ట్-ఇన్‌స్టాల్ స్క్రిప్ట్‌లను ఆయుధంగా మార్చడం ద్వారా, దాడి చేసేవారు క్రెడెన్షియల్ దొంగతనం మరియు రిమోట్ కంట్రోల్‌పై దృష్టి సారించిన క్రాస్-ప్లాట్‌ఫారమ్ RATని అందించగల తక్కువ-ఘర్షణ సంక్రమణ మార్గాన్ని సృష్టించారు.

అభివృద్ధి బృందాలు మరియు భద్రతా నిపుణుల కోసం, ఈ సంఘటన డిస్కార్డ్ వంటి వినియోగదారు ప్లాట్‌ఫామ్‌లకు అవుట్‌బౌండ్ ట్రాఫిక్ కోసం కఠినమైన డిపెండెన్సీ వెట్టింగ్, ఇన్‌స్టాల్-టైమ్ స్క్రిప్ట్‌ల పర్యవేక్షణ మరియు క్రమరాహిత్య గుర్తింపు యొక్క ప్రాముఖ్యతను బలోపేతం చేస్తుంది.