Malware ng NodeCordRAT

Natuklasan ng mga cybersecurity analyst ang tatlong malisyosong npm package na ginawa para ipamahagi ang isang dating hindi dokumentadong remote access trojan (RAT) na ngayon ay sinusubaybayan bilang NodeCordRAT. Ang mga package na ito ay inalis mula sa npm registry noong Nobyembre 2025 at lahat ay inilathala ng isang account na nagpapatakbo sa ilalim ng pangalang 'wenmoonx.'

Mga natukoy na malisyosong pakete:

• bitcoin-main-lib (≈2,300 na pag-download)
• bitcoin-lib-js (≈193 na pag-download)
• bip40 (≈970 na pag-download)

Sadyang pumili ang mga umaatake ng mga pangalang halos kapareho ng mga lehitimong repositoryo mula sa kilalang ecosystem ng bitcoinjs, isang maliwanag na pagtatangka na linlangin ang mga developer at dagdagan ang posibilidad ng hindi sinasadyang pag-install.

Kadena ng Impeksyon at Paghahatid ng Payload

Nagsisimula ang kompromiso kapag naka-install ang alinman sa bitcoin-main-lib o bitcoin-lib-js. Ang parehong pakete ay naglalaman ng isang ginawang package.json file na tumutukoy sa isang postinstall.cjs script. Tahimik na kinukuha ng script na ito ang bip40, na siyang nagho-host ng aktwal na malisyosong code.

Kapag naisagawa na, ide-deploy ng bip40 ang pangwakas na payload: ang NodeCordRAT, isang ganap na tampok na remote access trojan na may built-in na mga function sa pagkolekta ng data.

Ano ang NodeCordRAT?

Ang pangalan ng NodeCordRAT ay hango sa dalawang pangunahing pagpipilian sa disenyo nito: ang npm bilang mekanismo ng pagpapalaganap nito at ang Discord bilang Command-and-Control (C2) platform nito. Pagkatapos ng pag-install, tina-fingerprint ng malware ang nakompromisong sistema upang makabuo ng isang natatanging identifier sa mga host ng Windows, Linux, at macOS.

Ang trojan ay may kakayahang kumuha ng sensitibong impormasyon, kabilang ang:

• Mga kredensyal ng Google Chrome
• Mga token ng API
• Mga sikreto sa wallet ng cryptocurrency, tulad ng datos ng MetaMask at mga seed phrase

Ang lahat ng nakalap na datos ay ibinabalik sa attacker sa pamamagitan ng imprastraktura ng Discord.

Utos at Kontrol na Batay sa Discord

Sa halip na umasa sa mga tradisyunal na C2 server, gumagamit ang NodeCordRAT ng isang hard-coded na Discord server at token upang magtatag ng isang palihim na channel ng komunikasyon. Sa pamamagitan ng channel na ito, maaaring mag-isyu ng mga utos ang mga operator at makatanggap ng mga ninakaw na data.

Kabilang sa mga sinusuportahang utos ng attacker ang:

• !run – Isagawa ang mga arbitraryong utos ng shell sa pamamagitan ng exec function ng Node.js
• !screenshot – Kumuha ng buong screenshot sa desktop at i-exfiltrate ito bilang isang PNG file
• !sendfile – Mag-upload ng tinukoy na lokal na file sa Discord channel

Pag-exfilt ng Data sa pamamagitan ng API ng Discord

Ang exfiltration ay ganap na pinangangasiwaan sa pamamagitan ng REST API ng Discord. Gamit ang naka-embed na token, direktang pino-post ng malware ang ninakaw na nilalaman sa isang pribadong channel, at inilalagay ang mga file sa pamamagitan ng endpoint:

/mga channel/{id}/mga mensahe

Ang pamamaraang ito ay nagbibigay-daan sa mga aktor ng banta na pagsamahin ang malisyosong trapiko sa lehitimong aktibidad ng Discord, na ginagawang mas mahirap ang pagtukoy sa mga kapaligiran kung saan pinahihintulutan ang Discord.

Mga Implikasyon sa Seguridad

Itinatampok ng kampanyang ito ang patuloy na pang-aabuso sa mga open-source ecosystem at mga pinagkakatiwalaang platform ng kolaborasyon. Sa pamamagitan ng pagpapanggap bilang mga pamilyar na library na may kaugnayan sa Bitcoin at paggamit ng mga script pagkatapos ng pag-install bilang armas, lumikha ang mga umaatake ng isang low-friction infection path na may kakayahang maghatid ng cross-platform RAT na nakatuon sa pagnanakaw ng kredensyal at remote control.

Para sa mga development team at mga propesyonal sa seguridad, pinatitibay ng insidente ang kahalagahan ng mahigpit na pagsusuri sa dependency, pagsubaybay sa mga install-time script, at pagtuklas ng anomalya para sa papalabas na trapiko sa mga platform ng consumer tulad ng Discord.