Pacotes maliciosos do npm do Bitcoin espalham malware NodeCordRAT antes da remoção

Fonte: CryptoNewsNet Título Original: Pacotes maliciosos do Bitcoin no npm espalham malware NodeCordRAT antes de serem removidos Link Original: Pesquisadores do Zscaler ThreatLabz descobriram três pacotes maliciosos do Bitcoin no npm destinados a implantar malware chamado NodeCordRAT. Relatórios dizem que todos tiveram mais de 3.400 downloads antes de serem removidos do registro npm.

Os pacotes, que incluem bitcoin-main-lib, bitcoin-lib-js e bip40, acumularam 2.300, 193 e 970 downloads, respectivamente. Ao copiar nomes e detalhes de componentes reais do Bitcoin, o atacante fez esses módulos semelhantes parecerem inofensivos à primeira vista.

“Os pacotes bitcoin-main-lib e bitcoin-lib-js executam um script postinstall.cjs durante a instalação, que instala o bip40, o pacote que contém a carga maliciosa,” disseram os pesquisadores do Zscaler ThreatLabz Satyam Singh e Lakhan Parashar. “Essa carga final, nomeada NodeCordRAT pela ThreatLabz, é um cavalo de Troia de acesso remoto (RAT) com capacidades para roubar dados sensíveis.”

NodeCordRAT está equipado para roubar credenciais do Google Chrome, códigos API armazenados em arquivos .env e dados da carteira MetaMask, como chaves privadas e frases-semente.

Analistas do Zscaler ThreatLabz identificaram o trio em novembro enquanto escaneavam o registro npm em busca de pacotes suspeitos e padrões de download estranhos. NodeCordRAT representa uma nova família de malware que utiliza servidores Discord para comunicação de comando e controle (C2).

A pessoa que publicou todos os três pacotes maliciosos usou o endereço de email [email protected].

Cadeia de Ataque

A cadeia de ataque começa quando desenvolvedores instalam inadvertidamente bitcoin-main-lib ou bitcoin-lib-js do npm. Depois, ela identifica o caminho do pacote bip40 e inicia-o em modo destacado usando PM2.

O malware gera um identificador único para máquinas comprometidas usando o formato platform-uuid, como win32-c5a3f1b4. Isso é feito extraindo UUIDs do sistema por comandos como wmic csproduct get UUID no Windows ou lendo /etc/machine-id em sistemas Linux.

Contexto Histórico: Pacotes Node Maliciosos na Cripto

A Trust Wallet relatou que o roubo de quase 8,5 milhões de dólares estava relacionado a um ataque na cadeia de suprimentos do ecossistema npm por “Sha1-Hulud NPM.” Mais de 2.500 carteiras foram afetadas.

Hackers usaram pacotes npm comprometidos como trojans no estilo NodeCordRAT e malware na cadeia de suprimentos, incorporando-os ao código do lado do cliente que roubava dinheiro dos usuários ao acessarem suas carteiras.

Outros exemplos de 2025 que se assemelham à ameaça no estilo NodeCordRAT incluem a exploração do Force Bridge, ocorrida entre maio e junho de 2025. Os atacantes roubaram o software ou as chaves privadas que os nós validadores usavam para autorizar retiradas entre cadeias. Isso transformou os nós em atores maliciosos capazes de aprovar transações fraudulentas.

Essa violação resultou em aproximadamente 3,6 milhões de dólares em ativos roubados, incluindo ETH, USDC, USDT e outros tokens. Também forçou a ponte a interromper operações e realizar auditorias.

Em setembro, a exploração da ponte Shibarium ocorreu, e os atacantes conseguiram assumir o controle da maior parte do poder dos validadores por um curto período. Isso permitiu que eles atuassem como nós validadores maliciosos, assinassem retiradas ilegais e roubassem cerca de 2,8 milhões de dólares em tokens SHIB, ETH e BONE.