Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin
Reprodução/Pierre Borthiry-Peiobty, Unsplash

Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin

Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin – Canaltech

Pesquisadores de segurança da empresa Zscaler descobriram três pacotes npm maliciosos que entregam um malware de acesso remoto chamado NodeCordRAT: todos os três imitam bibliotecas ligadas à criptomoeda Bitcoin, ameaçando usuários que trabalham com a moeda digital.

Os pacotes foram tirados do ar ainda em novembro de 2025, todos enviados às plataformas pelo usuário wenmoonx. São eles o bitcoin-main-lib (com 2.300 downloads), bitcoin-lib-js (193) e bip40 (970). Durante a instalação, estes dois primeiros executam um script postinstall.cjs, instalando o bip40, pacote que contém o payload malicioso.

O que faz o NodeCordRAT

O nome NodeCordRAT veio da empresa de segurança ThreatLabz, que o avaliou como um trojan de acesso remoto (RAT) capaz de roubar dados, além de usar npm como um vetor de propagação e servidores do Discord para comunicações de comando e controle (C2). Os itens roubados são, principalmente, credenciais do Chrome, tokens de API e frases seed de carteiras de criptomoeda como a MetaMask.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Esquema de infecção do malware NodeCordRAT através de pacotes npm infectados (Imagem: Zscaler/ThreatLabz)
Esquema de infecção do malware NodeCordRAT através de pacotes npm infectados (Imagem: Zscaler/ThreatLabz)

Ao invadir a máquina da vítima, o malware faz um fingerprinting para gerar um identificador único para cada sistema operacional. Um servidor do Discord, então, recebe instruções e as executa na máquina. Elas incluem !run, para gerar comandos shell com a funções exec do Node.js, !screenshot, para gerar capturas de tela da área de trabalho e enviá-las pelo servidor, e !sendfile, para subir arquivos específicos ao Discord.

Tudo é mandado por uma API do Discord com um token fixo, pelo enpoint REST /channels/{id}/messages do aplicativo. Como a imitação do projeto legítimo bitcoinjs já foi tirada do ar, não há com que desenvolvedores se preocuparem no momento, mas calha sempre ter atenção com os pacotes baixados, checando comentários e a popularidade dos arquivos com antecedência.

Confira também:

VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts

Leia a matéria no Canaltech.

Source link

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 64685

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights