Зловмисні пакети Bitcoin npm поширювали шкідливе програмне забезпечення NodeCordRAT перед видаленням

Джерело: CryptoNewsNet Оригінальна назва: Зловмисні пакети Bitcoin npm поширювали шкідливе програмне забезпечення NodeCordRAT перед видаленням Оригінальне посилання: Дослідники з Zscaler ThreatLabz виявили три зловмисні пакети Bitcoin npm, які призначені для впровадження шкідливого програмного забезпечення під назвою NodeCordRAT. Звіти стверджують, що вони отримали понад 3 400 завантажень перед тим, як їх видалили з реєстру npm.

Ці пакети, до яких належать bitcoin-main-lib, bitcoin-lib-js і bip40, зібрали 2 300, 193 і 970 завантажень відповідно. Копіюючи назви та деталі з реальних компонентів Bitcoin, зловмисник зробив ці модулі-двійники безпечними на перший погляд.

“Пакети bitcoin-main-lib і bitcoin-lib-js виконують скрипт postinstall.cjs під час встановлення, який встановлює bip40, пакет, що містить зловмисне навантаження,” повідомили дослідники Zscaler ThreatLabz Сат’ям Сінгх і Лакхан Парашар. “Це остаточне навантаження, назване NodeCordRAT ThreatLabz, є трояном віддаленого доступу (RAT) з можливістю крадіжки конфіденційних даних.”

NodeCordRAT здатний красти облікові дані Google Chrome, API-коди, збережені у файлах .env, а також дані гаманця MetaMask, такі як приватні ключі та фрази насіння.

Аналітики Zscaler ThreatLabz ідентифікували цю трійцю у листопаді під час сканування реєстру npm на предмет підозрілих пакетів і дивних схем завантаження. NodeCordRAT являє собою нову сімейство шкідливого програмного забезпечення, яке використовує сервери Discord для командування і управління (C2).

Людина, яка розмістила всі три зловмисні пакети, використовувала електронну пошту supertalented730@gmail.com.

Ланцюг атаки

Ланцюг атаки починається, коли розробники неусвідомлено встановлюють bitcoin-main-lib або bitcoin-lib-js з npm. Потім він визначає шлях до пакета bip40 і запускає його у відокремленому режимі за допомогою PM2.

Шкідливе програмне забезпечення генерує унікальний ідентифікатор для зламаних машин за форматом platform-uuid, наприклад win32-c5a3f1b4. Це досягається шляхом витягання UUID системи за допомогою команд, таких як wmic csproduct get UUID у Windows або читання файлу /etc/machine-id у системах Linux.

Історичний контекст: Зловмисні пакети Node у криптоіндустрії

Trust Wallet повідомив, що крадіжка майже 8,5 мільйонів доларів була пов’язана з атакою на ланцюг постачання npm-екосистеми від “Sha1-Hulud NPM”. Постраждало понад 2 500 гаманців.

Хакери використовували зламані пакети npm як трояни у стилі NodeCordRAT і шкідливі програми ланцюга постачання, інтегруючи їх у клієнтський код, що краде гроші у користувачів при доступі до їхніх гаманців.

Інші приклади 2025 року, схожі на загрозу у стилі NodeCordRAT, включають експлойт Force Bridge, який стався між травнем і червнем 2025 року. Зловмисники крали або програмне забезпечення, або приватні ключі, які використовували валідатори для авторизації міжланцюгових зняттів. Це перетворювало валідатори на зловмисних учасників, здатних схвалювати фальшиві транзакції.

Ця атака призвела до викрадених активів на суму приблизно 3,6 мільйона доларів, включаючи ETH, USDC, USDT та інші токени. Вона також змусила команду зупинити роботу мосту і провести аудит.

У вересні стався експлойт у Shibarium Bridge, і зловмисники змогли короткий час контролювати більшу частину валідаторської потужності. Це дозволило їм виступати у ролі поганих валідаторів, підписувати незаконні зняття і викрасти близько 2,8 мільйона SHIB, ETH і BONE токенів.