Злонамеренные пакеты Bitcoin npm распространяли вредоносное ПО NodeCordRAT до их удаления

Источник: CryptoNewsNet Оригинальный заголовок: Вредоносные пакеты Bitcoin npm распространяли вредоносное ПО NodeCordRAT до их удаления Оригинальная ссылка: Исследователи из Zscaler ThreatLabz обнаружили три вредоносных пакета Bitcoin npm, предназначенных для внедрения вредоносного ПО под названием NodeCordRAT. Сообщается, что все они получили более 3 400 загрузок, прежде чем были удалены из реестра npm.

Пакеты, среди которых bitcoin-main-lib, bitcoin-lib-js и bip40, набрали 2 300, 193 и 970 загрузок соответственно. Копируя имена и детали из настоящих компонентов Bitcoin, злоумышленник сделал эти модули-двойники казались безвредными на первый взгляд.

“Пакеты bitcoin-main-lib и bitcoin-lib-js выполняют скрипт postinstall.cjs во время установки, который устанавливает bip40, пакет, содержащий вредоносный код,” сообщили исследователи Zscaler ThreatLabz Сатьяам Сингх и Лакхан Парашар. “Этот финальный payload, названный NodeCordRAT ThreatLabz, представляет собой троян удаленного доступа (RAT) с возможностями кражи конфиденциальных данных.”

NodeCordRAT способен похищать учетные данные Google Chrome, API-коды, хранящиеся в файлах .env, а также данные кошелька MetaMask, такие как приватные ключи и seed-фразы.

Аналитики Zscaler ThreatLabz выявили троицу в ноябре, просматривая реестр npm на предмет подозрительных пакетов и странных шаблонов загрузки. NodeCordRAT представляет собой новое семейство вредоносных программ, использующее серверы Discord для команд и управления (C2).

Человек, разместивший все три вредоносных пакета, использовал адрес электронной почты supertalented730@gmail.com.

Цепочка атаки

Цепочка атаки начинается, когда разработчики невольно устанавливают bitcoin-main-lib или bitcoin-lib-js из npm. Затем она определяет путь к пакету bip40 и запускает его в отсоединенном режиме с помощью PM2.

Вредоносное ПО генерирует уникальный идентификатор для скомпрометированных машин в формате platform-uuid, например win32-c5a3f1b4. Для этого оно извлекает UUID системы с помощью команд, таких как wmic csproduct get UUID в Windows или чтения /etc/machine-id в системах Linux.

Исторический контекст: Вредоносные пакеты Node в криптоиндустрии

Trust Wallet сообщил, что кража почти 8,5 миллиона долларов связана с атакой на цепочку поставок npm со стороны “Sha1-Hulud NPM”. Было затронуто более 2 500 кошельков.

Хакеры использовали скомпрометированные пакеты npm в стиле NodeCordRAT как трояны и вредоносное ПО цепочки поставок, внедряя их в клиентский код, который крал деньги у пользователей при доступе к их кошелькам.

Другие примеры 2025 года, похожие на угрозу в стиле NodeCordRAT, включают эксплойт Force Bridge, произошедший в период с мая по июнь 2025 года. Злоумышленники похищали либо программное обеспечение, либо приватные ключи, используемые валидаторами для авторизации межцепочечных выводов. Это превращало узлы в вредоносных участников, которые могли одобрять мошеннические транзакции.

Этот взлом привел к краже активов на сумму примерно 3,6 миллиона долларов, включая ETH, USDC, USDT и другие токены. Также он вынудил мост прекратить работу и провести аудит.

В сентябре произошел взлом Shibarium Bridge, и злоумышленники смогли временно захватить контроль над большей частью валидаторской мощности. Это позволило им выступать в роли плохих валидаторских узлов, подписывать незаконные выводы и похитить около 2,8 миллиона долларов в SHIB, ETH и BONE токенах.