I ricercatori di Zscaler ThreatLabz hanno individuato tre pacchetti npm Bitcoin dannosi, progettati per impiantare un malware denominato NodeCordRAT. I report affermano che tutti e tre hanno ottenuto più di 3.400 download prima di essere rimossi dal registro npm.
I pacchetti, che includono bitcoin-main-lib, bitcoin-lib-js e bip40, avevano accumulato rispettivamente 2.300, 193 e 970 download. Copiando nomi e dettagli da componenti Bitcoin reali, l'aggressore ha fatto apparire questi moduli simili come innocui a prima vista.
"I pacchetti bitcoin-main-lib e bitcoin-lib-js eseguono uno script postinstall.cjs durante l'installazione, che installa bip40, il pacchetto che contiene il payload dannoso", hanno affermato Satyam Singh e Lakhan Parashar, ricercatori di Zscaler ThreatLabz. "Questo payload finale, denominato NodeCordRAT da ThreatLabz, è un trojan di accesso remoto (RAT) con capacità di furto di dati".
NodeCordRAT è attrezzato per rubare le credenziali di Google Chrome
Gli analisti di Zscaler ThreatLabz hanno identificato il trio a novembre durante la scansione del registro npm alla ricerca di pacchetti sospetti e strani modelli di download. NodeCordRAT rappresenta una nuova famiglia di malware che sfrutta i server Discord per la comunicazione di comando e controllo (C2).
NodeCordRAT è stato creato per rubare le informazioni di accesso a Google Chrome, i codici API contenuti nei file .env e i dati del portafoglio MetaMask, come chiavi private e seed phrase. La persona che ha pubblicato tutti e tre i pacchetti dannosi utilizzava l'indirizzo email [email protected].
La catena di attacco inizia quando gli sviluppatori installano inconsapevolmente bitcoin-main-lib o bitcoin-lib-js da npm. Quindi identificano il percorso del pacchetto bip40 e lo avviano in modalità distaccata utilizzando PM2.
Il malware genera un identificatore univoco per le macchine compromesse utilizzando il formato platform-uuid, come win32-c5a3f1b4. A tale scopo, estrae gli UUID di sistema tramite comandi come wmic csproduct get UUID su Windows o leggendo /etc/machine-id sui sistemi Linux.
Pacchetti di nodi dannosi che hanno causato furti di criptovalute
Trust Wallet ha affermato che il furto di quasi 8,5 milioni di dollari è stato collegato a un attacco alla catena di fornitura dell'ecosistema npm da parte di "Sha1-Hulud NPM". Sono stati colpiti più di 2.500 wallet.
Gli hacker hanno utilizzato un npm hackerato come trojan in stile NodeCordRAT e malware per la supply chain. È stato incorporato nel codice lato client per rubare denaro ai clienti quando accedevano ai loro wallet.
Altri esempi del 2025 che rientrano in due categorie simili alla minaccia in stile NodeCordRAT includono l'exploit Force Bridge, verificatosi tra maggio e giugno 2025. Gli aggressori hanno rubato il software o le chiavi private che i nodi di convalida utilizzavano per autorizzare i prelievi cross-chain. Ciò ha trasformato i nodi in attori malintenzionati in grado di approvare transazioni fraudolente.
Questa violazione ha causato il furto di asset per un valore stimato di 3,6 milioni di dollari, tra cui ETH, USDC, USDT e altri token. Ha inoltre costretto il bridge a interrompere le operazioni e a condurre audit.
A settembre, è stato scoperto l'exploit Shibarium Bridge, che ha permesso agli aggressori di assumere il controllo di gran parte della potenza di calcolo del validatore per un breve periodo. Come rivelato da Cryptopolitan, questo ha permesso loro di fungere da nodi validatori non autorizzati, autorizzare prelievi illegali e rubare circa 2,8 milioni di dollari in token SHIB, ETH e BONE.
Se stai leggendo questo, sei già in vantaggio. Resta aggiornato con la nostra newsletter .