Los paquetes npm maliciosos Bitcoin propagan el malware NodeCordRAT antes de su eliminación

Investigadores de Zscaler ThreatLabz han encontrado tres paquetes npm maliciosos Bitcoin diseñados para implantar malware llamado NodeCordRAT. Según informes, todos ellos tuvieron más de 3400 descargas antes de ser eliminados del registro npm.

Los paquetes, que incluyen bitcoin-main-lib, bitcoin-lib-js y bip40, acumularon 2300, 193 y 970 descargas. Al copiar nombres y detalles de componentes reales Bitcoin , el atacante logró que estos módulos similares parecieran inofensivos a simple vista.

“Los bitcoin -main-lib y bitcoin -lib-js ejecutan un script postinstall.cjs durante la instalación, que instala bip40, el paquete que contiene la carga maliciosa”, explicaron Satyam Singh y Lakhan Parashar, investigadores de ThreatLabz de Zscaler. “Esta carga, denominada NodeCordRAT por ThreatLabz, es un troyano de acceso remoto (RAT) con capacidad para robar datos”.

NodeCordRAT está equipado para robardentde Google Chrome

Los analistas de Zscaler ThreatLabzdentel trío en noviembre al escanear el registro npm en busca de paquetes sospechosos y patrones de descarga extraños. NodeCordRAT representa una nueva familia de malware que utiliza servidores de Discord para la comunicación de comando y control (C2).

NodeCordRAT fue creado para robar información de inicio de sesión de Google Chrome, códigos API guardados en archivos .env y datos de la billetera MetaMask, como claves privadas y frases semilla. La persona que publicó los tres paquetes maliciosos utilizó la dirección de correo electrónico supertalented730@gmail.com.

La cadena de ataque comienza cuando los desarrolladores instalan, sin saberlo, bitcoin-main-lib o bitcoin-lib-js desde npm. Luego,dentla ruta del paquete bip40 y lo inicia en modo independiente usando PM2.

El malware genera undentúnico para las máquinas comprometidas utilizando el formato "platform-uuid", como win32-c5a3f1b4. Lo logratraclos UUID del sistema mediante comandos como "wmic csproduct get UUID" en Windows o leyendo "/etc/machine-id" en sistemas Linux.

Paquetes de nodos maliciosos que provocaron robos de criptomonedas

Trust Wallet afirmó que el robo de casi 8,5 millones de dólares estuvo relacionado con un ataque a la cadena de suministro del ecosistema npm perpetrado por "Sha1-Hulud NPM". Más de 2500 billeteras se vieron afectadas.

Los hackers utilizaron un npm pirateado como troyanos tipo NodeCordRAT y malware para la cadena de suministro. Se incorporó al código del lado del cliente y robó dinero a los clientes cuando accedieron a sus billeteras.

Otros ejemplos de 2025 que se clasifican en dos categorías similares a la amenaza de tipo NodeCordRAT incluyen el exploit Force Bridge, que ocurrió entre mayo y junio de 2025. Los atacantes robaron el software o las claves privadas que los nodos validadores usaban para autorizar retiros entre cadenas. Esto convirtió a los nodos en actores maliciosos capaces de aprobar transacciones fraudulentas.

Esta brecha resultó en el robo de aproximadamente $3.6 millones en activos, incluyendo ETH, USDC, USDT y otros tokens. También obligó al puente a detener sus operaciones y realizar auditorías.

En septiembre, se desplegó el Shib arium, y los atacantes lograron controlar la mayor parte de la potencia del validador durante un breve periodo. Según reveló Cryptopolitan , esto les permitió actuar como nodos de validación maliciosos, autorizar retiros ilegales y obtener alrededor de 2,8 millones de dólares en SHIB , ETH y BONE.

Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).