惡意的 Bitcoin npm 套件在下架前散播 NodeCordRAT 惡意軟體

來源：CryptoNewsNet 原標題：惡意Bitcoin npm套件在下架前散布NodeCordRAT惡意軟體 原連結： Zscaler ThreatLabz的研究人員發現了三個惡意的Bitcoin npm套件，旨在植入名為NodeCordRAT的惡意軟體。報導指出，它們在從npm註冊中心下架前，總共被下載超過3,400次。

這些套件包括bitcoin-main-lib、bitcoin-lib-js和bip40，分別累計下載2,300、193和970次。攻擊者通過模仿真實Bitcoin組件的名稱和細節，使這些偽裝模組在一眼之下看起來無害。

“bitcoin-main-lib和bitcoin-lib-js套件在安裝過程中執行postinstall.cjs腳本，該腳本安裝包含惡意載荷的bip40套件，” Zscaler ThreatLabz的研究人員Satyam Singh和Lakhan Parashar表示，“這個最終載荷由ThreatLabz命名為NodeCordRAT，是一個具有竊取敏感資料能力的遠端存取木馬(RAT)。”

NodeCordRAT能竊取Google Chrome的憑證、存放在.env檔案中的API碼，以及MetaMask錢包資料，如私鑰和種子短語。

Zscaler ThreatLabz的分析人員在2023年11月在掃描npm註冊中心時，發現了這三個惡意套件的蹤跡與異常下載模式。NodeCordRAT代表一個新型的惡意軟體家族，利用Discord伺服器進行指令與控制（C2）通信。

發佈這三個惡意套件的人使用的電子郵件地址是 supertalented730@gmail.com。

攻擊鏈

攻擊鏈始於開發者在不知情的情況下安裝了npm上的bitcoin-main-lib或bitcoin-lib-js。接著，它會識別bip40套件的路徑，並使用PM2以分離模式啟動它。

惡意軟體會為受感染的機器生成一個獨特識別碼，格式為 platform-uuid，例如 win32-c5a3f1b4。它通過執行像是 wmic csproduct get UUID（在Windows上）或讀取 /etc/machine-id（在Linux系統上）來提取系統UUID。

歷史背景：加密貨幣中的惡意Node套件

Trust Wallet報告指出，近乎850萬美元的資產被盜，與“Sha1-Hulud NPM”對npm生態系供應鏈的攻擊有關。超過2,500個錢包受到影響。

黑客利用被破壞的npm套件作為NodeCordRAT風格的木馬和供應鏈惡意軟體，將它們整合到客戶端代碼中，當用戶訪問錢包時，會竊取資金。

2025年出現的其他類似NodeCordRAT威脅的例子包括Force Bridge漏洞，該漏洞發生在2025年5月至6月之間。攻擊者竊取了驗證節點用於授權跨鏈提款的軟體或私鑰，導致節點變成惡意行為者，能批准欺詐交易。

這次漏洞造成約360萬美元的資產被盜，包括ETH、USDC、USDT和其他代幣。也迫使橋接停止運作並進行審計。

在2023年9月，Shibarium橋接漏洞爆發，攻擊者短暫控制了大部分驗證者的權力，使他們能作為惡意驗證節點，簽署非法提款，並盜取約280萬美元的SHIB、ETH和BONE代幣。