Pacotes maliciosos do npm Bitcoin espalhavam o malware NodeCordRAT antes de serem removidos

Pesquisadores do Zscaler ThreatLabz encontraram três pacotes npm maliciosos Bitcoin , destinados a implantar o malware NodeCordRAT. Segundo relatos, todos eles obtiveram mais de 3.400 downloads antes de serem removidos do registro npm.

Os pacotes, que incluem bitcoin-main-lib, bitcoin-lib-js e bip40, acumularam 2.300, 193 e 970 downloads, respectivamente. Ao copiar nomes e detalhes de componentes reais Bitcoin , o atacante fez com que esses módulos falsos parecessem inofensivos à primeira vista.

“Os bitcoin -main-lib e bitcoin -lib-js executam um script postinstall.cjs durante a instalação, que instala o bip40, pacote que contém a carga maliciosa”, afirmaram Satyam Singh e Lakhan Parashar, pesquisadores do Zscaler ThreatLabz. “Essa carga final, denominada NodeCordRAT pelo ThreatLabz, é um trojan de acesso remoto (RAT) com capacidade de roubo de dados.”

O NodeCordRAT está equipado para roubardentdo Google Chrome

Os analistas do Zscaler ThreatLabzdento trio em novembro, enquanto examinavam o registro npm em busca de pacotes suspeitos e padrões de download estranhos. O NodeCordRAT representa uma nova família de malware que utiliza servidores Discord para comunicação de comando e controle (C2).

O NodeCordRAT foi desenvolvido para roubar informações de login do Google Chrome, códigos de API armazenados em arquivos .env e dados da carteira MetaMask, como chaves privadas e frases de recuperação. A pessoa que publicou os três pacotes maliciosos usou o endereço de e-mail supertalented730@gmail.com.

A cadeia de ataque começa quando os desenvolvedores instalam, sem saber, o pacote bitcoin-main-lib ou bitcoin-lib-js do npm. Em seguida, odentidentifica o caminho do pacote bip40 e o inicia em modo separado usando o PM2.

O malware gera umdentúnico para máquinas comprometidas usando o formato platform-uuid, como win32-c5a3f1b4. Ele consegue issotracos UUIDs do sistema por meio de comandos como wmic csproduct get UUID no Windows ou lendo /etc/machine-id em sistemas Linux.

Pacotes de nós maliciosos que causaram roubos de criptomoedas

A Trust Wallet afirmou que o roubo de quase US$ 8,5 milhões estava relacionado a um ataque à cadeia de suprimentos do ecossistema npm realizado pelo agente “Sha1-Hulud NPM”. Mais de 2.500 carteiras foram afetadas.

Hackers usaram uma versão comprometida do npm como trojans do tipo NodeCordRAT e malware para a cadeia de suprimentos. O malware foi incorporado ao código do lado do cliente para roubar dinheiro dos usuários quando estes acessavam suas carteiras digitais.

Outros exemplos de 2025 que se enquadram em duas categorias semelhantes à ameaça do tipo NodeCordRAT incluem a exploração da Force Bridge, ocorrida entre maio e junho de 2025. Os atacantes roubaram o software ou as chaves privadas que os nós validadores usavam para autorizar saques entre blockchains. Isso transformou os nós em agentes maliciosos capazes de aprovar transações fraudulentas.

Essa violação resultou no roubo estimado de US$ 3,6 milhões em ativos, incluindo ETH, USDC, USDT e outros tokens. Também forçou a ponte a interromper suas operações e realizar auditorias.

Em setembro, a Shib arium Bridge foi explorada, permitindo que atacantes assumissem o controle da maior parte do poder de validação por um curto período. Conforme revelado pelo Cryptopolitan, isso possibilitou que eles atuassem como nós validadores maliciosos, aprovassem saques ilegais e desviassem cerca de US$ 2,8 milhões em SHIB , ETH e BONE.

Junte-se a uma comunidade premium de negociação de criptomoedas gratuitamente por 30 dias - normalmente US$ 100/mês.