มัลแวร์ NodeCordRAT

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจ npm ที่เป็นอันตราย 3 แพ็กเกจ ซึ่งถูกออกแบบมาเพื่อเผยแพร่มัลแวร์ประเภทโทรจันสำหรับการเข้าถึงระยะไกล (RAT) ที่ไม่เคยมีการบันทึกมาก่อน และปัจจุบันถูกติดตามในชื่อ NodeCordRAT แพ็กเกจเหล่านี้ถูกลบออกจากรีจิสทรี npm ในเดือนพฤศจิกายน 2025 และทั้งหมดถูกเผยแพร่โดยบัญชีที่ใช้ชื่อว่า 'wenmoonx'

ตรวจพบแพ็กเกจที่เป็นอันตราย:

• bitcoin-main-lib (ดาวน์โหลดประมาณ 2,300 ครั้ง)
• bitcoin-lib-js (ดาวน์โหลดประมาณ 193 ครั้ง)
• bip40 (ดาวน์โหลดประมาณ 970 ครั้ง)

ผู้โจมตีจงใจเลือกชื่อที่คล้ายคลึงกับแหล่งเก็บข้อมูลที่ถูกต้องตามกฎหมายจากระบบนิเวศ bitcoinjs ที่เป็นที่รู้จักกันดี ซึ่งเป็นการพยายามหลอกลวงนักพัฒนาและเพิ่มโอกาสในการติดตั้งโดยไม่ตั้งใจอย่างชัดเจน

ห่วงโซ่การติดเชื้อและการส่งมอบสารก่อโรค

ช่องโหว่เริ่มต้นขึ้นเมื่อมีการติดตั้ง bitcoin-main-lib หรือ bitcoin-lib-js ทั้งสองแพ็กเกจมีไฟล์ package.json ที่ถูกดัดแปลงมาเป็นพิเศษ ซึ่งกำหนดสคริปต์ postinstall.cjs สคริปต์นี้จะดึง bip40 เข้ามาโดยไม่ให้ใครรู้ ซึ่งเป็นที่เก็บโค้ดที่เป็นอันตรายจริง ๆ

เมื่อดำเนินการเสร็จสิ้น bip40 จะติดตั้งเพย์โหลดสุดท้ายคือ NodeCordRAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงระยะไกลที่มีคุณสมบัติครบถ้วน พร้อมฟังก์ชันการเก็บรวบรวมข้อมูลในตัว

NodeCordRAT คืออะไร?

NodeCordRAT ได้ชื่อมาจากสองทางเลือกหลักในการออกแบบ คือ npm เป็นกลไกการแพร่กระจาย และ Discord เป็นแพลตฟอร์มควบคุมและสั่งการ (C2) หลังจากติดตั้งแล้ว มัลแวร์จะสร้างลายนิ้วมือของระบบที่ถูกโจมตีเพื่อสร้างตัวระบุที่ไม่ซ้ำกันในระบบปฏิบัติการ Windows, Linux และ macOS

มัลแวร์ประเภทโทรจันนี้สามารถเก็บรวบรวมข้อมูลสำคัญได้ ซึ่งรวมถึง:

• ข้อมูลรับรองการเข้าใช้งาน Google Chrome
• โทเค็น API
• ข้อมูลลับของกระเป๋าเงินคริปโตเคอร์เรนซี เช่น ข้อมูล MetaMask และวลีเริ่มต้น (seed phrase)

ข้อมูลทั้งหมดที่รวบรวมได้จะถูกส่งกลับไปยังผู้โจมตีผ่านโครงสร้างพื้นฐานของ Discord

การควบคุมและสั่งการผ่าน Discord

แทนที่จะพึ่งพาเซิร์ฟเวอร์ C2 แบบดั้งเดิม NodeCordRAT ใช้เซิร์ฟเวอร์ Discord และโทเค็นที่กำหนดไว้ล่วงหน้าเพื่อสร้างช่องทางการสื่อสารลับ ผ่านช่องทางนี้ ผู้ปฏิบัติการสามารถออกคำสั่งและรับข้อมูลที่ถูกขโมยได้

คำสั่งโจมตีที่รองรับได้แก่:

• !run – เรียกใช้คำสั่งเชลล์ใดๆ ผ่านฟังก์ชัน exec ของ Node.js
• !screenshot – จับภาพหน้าจอเดสก์ท็อปแบบเต็มหน้าจอและส่งออกเป็นไฟล์ PNG
• !sendfile – อัปโหลดไฟล์ในเครื่องที่ระบุไปยังช่อง Discord

การขโมยข้อมูลผ่าน API ของ Discord

การส่งข้อมูลออกไปนั้นดำเนินการผ่าน REST API ของ Discord ทั้งหมด โดยใช้โทเค็นที่ฝังอยู่ มัลแวร์จะโพสต์เนื้อหาที่ถูกขโมยไปยังช่องส่วนตัวโดยตรง พร้อมแนบไฟล์ผ่านทางเอนด์พอยต์:

/channels/{id}/messages

วิธีการนี้ทำให้ผู้โจมตีสามารถผสมผสานการรับส่งข้อมูลที่เป็นอันตรายเข้ากับกิจกรรม Discord ที่ถูกต้องตามกฎหมาย ทำให้การตรวจจับทำได้ยากขึ้นในสภาพแวดล้อมที่อนุญาตให้ใช้ Discord

ผลกระทบด้านความปลอดภัย

แคมเปญนี้เน้นย้ำถึงการละเมิดระบบนิเวศโอเพนซอร์สและแพลตฟอร์มการทำงานร่วมกันที่น่าเชื่อถืออย่างต่อเนื่อง โดยการปลอมตัวเป็นไลบรารีที่เกี่ยวข้องกับ Bitcoin ที่คุ้นเคย และใช้สคริปต์หลังการติดตั้งเป็นอาวุธ ผู้โจมตีได้สร้างเส้นทางการติดเชื้อที่ราบรื่นซึ่งสามารถส่ง RAT ข้ามแพลตฟอร์มที่มุ่งเน้นการขโมยข้อมูลประจำตัวและการควบคุมระยะไกลได้

สำหรับทีมพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัย เหตุการณ์นี้ตอกย้ำความสำคัญของการตรวจสอบความสัมพันธ์ของส่วนประกอบอย่างเข้มงวด การตรวจสอบสคริปต์ระหว่างการติดตั้ง และการตรวจจับความผิดปกติสำหรับทราฟฟิกขาออกไปยังแพลตฟอร์มสำหรับผู้บริโภค เช่น Discord