NodeCordRAT Kötü Amaçlı Yazılımı
Siber güvenlik analistleri, daha önce belgelenmemiş bir uzaktan erişim truva atını (RAT) dağıtmak üzere tasarlanmış üç kötü amaçlı npm paketini ortaya çıkardı. Bu truva atı artık NodeCordRAT olarak izleniyor. Bu paketler Kasım 2025'te npm kayıt defterinden kaldırıldı ve hepsi 'wenmoonx' adıyla faaliyet gösteren bir hesap tarafından yayınlandı.
Tespit edilen zararlı paketler:
- bitcoin-main-lib (yaklaşık 2.300 indirme)
- bitcoin-lib-js (≈193 indirme)
- bip40 (≈970 indirme)
Saldırganlar, geliştiricileri yanıltmak ve yanlışlıkla kurulum olasılığını artırmak amacıyla, bilinen bitcoinjs ekosistemindeki meşru depolara çok benzeyen isimleri kasıtlı olarak seçtiler.
İçindekiler
Enfeksiyon Zinciri ve Yükün Taşınması
Uzlaşma, bitcoin-main-lib veya bitcoin-lib-js paketlerinden birinin yüklenmesiyle başlar. Her iki paket de, postinstall.cjs betiğini tanımlayan özel olarak hazırlanmış bir package.json dosyası içerir. Bu betik, asıl kötü amaçlı kodu barındıran bip40'ı sessizce indirir.
Bip40 çalıştırıldıktan sonra, veri toplama işlevlerine sahip, tam özellikli bir uzaktan erişim truva atı olan NodeCordRAT adlı son zararlı yazılımı devreye sokar.
NodeCordRAT nedir?
NodeCordRAT adını, iki temel tasarım tercihinden alıyor: yayılma mekanizması olarak npm ve komuta ve kontrol (C2) platformu olarak Discord. Kurulumdan sonra, kötü amaçlı yazılım, Windows, Linux ve macOS işletim sistemlerinde benzersiz bir tanımlayıcı oluşturmak için ele geçirilen sistemin parmak izini çıkarıyor.
Bu truva atı, aşağıdakiler de dahil olmak üzere hassas bilgileri ele geçirebilmektedir:
- Google Chrome kimlik bilgileri
- API belirteçleri
- MetaMask verileri ve kurtarma ifadeleri gibi kripto para cüzdanı sırları.
Toplanan tüm veriler, Discord'un altyapısı aracılığıyla saldırgana geri aktarılıyor.
Discord Tabanlı Komuta ve Kontrol
NodeCordRAT, geleneksel C2 sunucularına güvenmek yerine, gizli bir iletişim kanalı kurmak için önceden tanımlanmış bir Discord sunucusu ve belirteci kullanır. Bu kanal aracılığıyla operatörler komutlar verebilir ve çalınan verileri alabilir.
Desteklenen saldırgan komutları şunlardır:
- !run – Node.js'nin exec fonksiyonu aracılığıyla rastgele shell komutlarını çalıştırın.
- !screenshot – Masaüstünün tamamının ekran görüntüsünü al ve PNG dosyası olarak dışa aktar.
- !sendfile – Belirtilen yerel dosyayı Discord kanalına yükle
Discord API’si aracılığıyla veri sızdırma
Veri sızdırma işlemi tamamen Discord'un REST API'si üzerinden gerçekleştirilir. Kötü amaçlı yazılım, gömülü belirteci kullanarak çalınan içeriği doğrudan özel bir kanala gönderir ve dosyaları uç nokta üzerinden ekler:
/kanallar/{id}/mesajlar
Bu yaklaşım, tehdit aktörlerinin kötü amaçlı trafiği meşru Discord etkinliğiyle harmanlamasına olanak tanıyarak, Discord'un izin verildiği ortamlarda tespit edilmeyi daha zor hale getiriyor.
Güvenlik Etkileri
Bu kampanya, açık kaynak ekosistemlerinin ve güvenilir iş birliği platformlarının devam eden kötüye kullanımını vurgulamaktadır. Saldırganlar, bilindik Bitcoin ile ilgili kütüphaneler gibi davranarak ve kurulum sonrası komut dosyalarını silah haline getirerek, kimlik bilgilerini çalmaya ve uzaktan kontrole odaklanan platformlar arası bir RAT (Uzaktan Erişim Trojanı) yayabilen düşük sürtünmeli bir enfeksiyon yolu oluşturmuştur.
Bu olay, geliştirme ekipleri ve güvenlik uzmanları için, Discord gibi tüketici platformlarına giden trafiğe yönelik bağımlılıkların sıkı bir şekilde kontrol edilmesinin, kurulum zamanı komut dosyalarının izlenmesinin ve anormallik tespitinin önemini bir kez daha vurguluyor.
