Los investigadores de ciberseguridad descubrieron tres paquetes npm maliciosos diseñados para entregar malware previamente no documentado llamado NodeCordRAT.
A continuación se muestran los nombres de todos los paquetes eliminados hasta noviembre de 2025. Estos fueron subidos por un usuario llamado ‘wenmoonx’.
«Los paquetes bitcoin-main-lib y bitcoin-lib-js ejecutan un script postinstall.cjs durante la instalación, que instala bip40, un paquete que contiene una carga maliciosa», dijeron Satyam Singh y Lakhan Parashar, investigadores de Zscaler ThreatLabz. «Esta carga útil final, denominada NodeCordRAT por ThreatLabz, es un troyano de acceso remoto (RAT) con capacidades de robo de datos».
El nombre de NodeCordRAT proviene del uso de npm como vector de propagación y servidor Discord para comunicación de comando y control (C2). Este malware tiene la capacidad de robar credenciales de Google Chrome, tokens API y frases iniciales de billeteras de criptomonedas como MetaMask.
Según la empresa de ciberseguridad, a los atacantes detrás de la campaña se les atribuye el mérito de nombrar sus paquetes con el nombre de repositorios reales que se encuentran dentro del proyecto bitcoinjs legítimo, como bitcoinjs-lib, bip32, bip38 y bip38.
Tanto «bitcoin-main-lib» como «bitcoin-lib-js» incluyen un archivo «package.json» con «postinstall.cjs» como script posterior a la instalación, lo que lleva a la ejecución de «bip40» que contiene la carga útil NodeCordRAT.
El malware toma huellas digitales de los hosts infectados para generar un identificador único en los sistemas Windows, Linux y macOS, y utiliza un servidor Discord codificado para abrir un canal de comunicación secreto para recibir y ejecutar instrucciones.
!run, ejecuta cualquier comando de shell usando la función ejecutiva de Node.js. !captura de pantalla, toma una captura de pantalla completa de tu escritorio y extrae el archivo PNG a tu canal de Discord. !sendfile, carga el archivo especificado en un canal de Discord.
«Estos datos se extraen utilizando la API de Discord, que incluye tokens codificados, y se envían a un canal privado», dijo Zscaler. «Los archivos robados se cargan como archivos adjuntos de mensajes a través del punto final REST de Discord /channels/{id}/messages».
Source link
