Les packages npm Bitcoin malveillants diffusent le malware NodeCordRAT avant leur suppression

Source : CryptoNewsNet Titre original : Des packages npm malveillants de Bitcoin diffusent le malware NodeCordRAT avant leur suppression Lien original : Les chercheurs de Zscaler ThreatLabz ont découvert trois packages npm malveillants liés à Bitcoin destinés à implanter un malware nommé NodeCordRAT. Selon les rapports, ils ont tous été téléchargés plus de 3 400 fois avant d’être retirés du registre npm.

Les packages, qui incluent bitcoin-main-lib, bitcoin-lib-js et bip40, avaient accumulé 2 300, 193 et 970 téléchargements. En copiant les noms et détails de composants Bitcoin réels, l’attaquant a fait apparaître ces modules ressemblant à des copies comme inoffensifs à première vue.

“Les packages bitcoin-main-lib et bitcoin-lib-js exécutent un script postinstall.cjs lors de l’installation, qui installe bip40, le package contenant la charge utile malveillante,” ont déclaré les chercheurs de Zscaler ThreatLabz, Satyam Singh et Lakhan Parashar. “Cette charge utile finale, nommée NodeCordRAT par ThreatLabz, est un cheval de Troie d’accès à distance (RAT) avec la capacité de voler des données sensibles.”

NodeCordRAT est capable de voler les identifiants de Google Chrome, les codes API stockés dans des fichiers .env, ainsi que les données de portefeuille MetaMask telles que les clés privées et les phrases de récupération.

Les analystes de Zscaler ThreatLabz ont identifié le trio en novembre lors d’un scan du registre npm à la recherche de packages suspects et de modèles de téléchargement étranges. NodeCordRAT représente une nouvelle famille de malware qui exploite les serveurs Discord pour la communication command-and-control (C2).

La personne ayant publié ces trois packages malveillants utilisait l’adresse email supertalented730@gmail.com.

Chaîne d’attaque

La chaîne d’attaque commence lorsque des développeurs installent à leur insu bitcoin-main-lib ou bitcoin-lib-js depuis npm. Ensuite, elle identifie le chemin du package bip40 et le lance en mode détaché avec PM2.

Le malware génère un identifiant unique pour les machines compromises en utilisant le format platform-uuid, comme win32-c5a3f1b4. Il y parvient en extrayant les UUID système via des commandes comme wmic csproduct get UUID sous Windows ou en lisant /etc/machine-id sur Linux.

Contexte historique : Packages Node malveillants dans la crypto

Trust Wallet a rapporté que le vol de près de 8,5 millions de dollars était lié à une attaque contre la chaîne d’approvisionnement de l’écosystème npm par “Sha1-Hulud NPM”. Plus de 2 500 portefeuilles ont été affectés.

Les hackers ont utilisé des packages npm compromis comme des chevaux de Troie de type NodeCordRAT et des malwares de la chaîne d’approvisionnement, en les intégrant dans du code côté client qui volait de l’argent aux utilisateurs lorsqu’ils accédaient à leurs portefeuilles.

D’autres exemples de 2025 ressemblant à la menace de type NodeCordRAT incluent l’exploit Force Bridge, qui a eu lieu entre mai et juin 2025. Les attaquants ont volé soit le logiciel, soit les clés privées que les nœuds validateurs utilisaient pour autoriser les retraits inter-chaînes. Cela a transformé ces nœuds en acteurs malveillants capables d’approuver des transactions frauduleuses.

Cette brèche a entraîné un vol estimé à 3,6 millions de dollars en actifs, notamment ETH, USDC, USDT et autres tokens. Elle a également forcé le pont à arrêter ses opérations et à réaliser des audits.

En septembre, l’exploit du Shibarium Bridge s’est produit, et les attaquants ont pu prendre le contrôle de la majorité de la puissance des validateurs pendant une courte période. Cela leur a permis de servir de mauvais nœuds validateurs, de signer des retraits illégaux et de voler environ 2,8 millions de dollars en tokens SHIB, ETH et BONE.