研究人员发现隐藏于 npm 比特币主题包中的 NodeCordRAT 恶意软件
- 浏览次数 513
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络安全研究人员发现了三个恶意的npm软件包,这些软件包旨在传播一种先前未被记录的名为NodeCordRAT的恶意软件。
这些软件包的名称如下所示,截至2025年11月,它们已被全部下架。这些包是由一个名为"wenmoonx"的用户上传的。
- bitcoin-main-lib (2,300 次下载)
- bitcoin-lib-js (193 次下载)
- bip40 (970 次下载)
Zscaler ThreatLabz的研究人员Satyam Singh和Lakhan Parashar表示:"
bitcoin-main-lib和bitcoin-lib-js这两个包在安装过程中会执行一个postinstall.cjs脚本,该脚本会安装包含恶意负载的bip40包。这个最终的负载,被ThreatLabz命名为NodeCordRAT,是一个具有数据窃取能力的远程访问木马。"
NodeCordRAT的名称来源于其使用npm作为传播媒介,以及利用Discord服务器进行命令与控制通信。该恶意软件能够窃取谷歌Chrome浏览器的凭证、API令牌以及MetaMask等加密货币钱包的助记词种子短语。
据这家网络安全公司称,评估认为此次攻击活动的背后威胁行为者,是以合法的bitcoinjs项目中存在的真实仓库(例如bitcoinjs-lib、bip32、bip38)为蓝本来命名这些恶意包的。
"bitcoin-main-lib"和"bitcoin-lib-js"都包含一个"package.json"文件,其中将"postinstall.cjs"指定为安装后脚本,从而导致包含NodeCordRAT负载的"bip40"包被执行。
该恶意软件除了对受感染主机进行指纹识别,以在Windows、Linux和macOS系统上生成唯一标识符外,还利用一个硬编码的Discord服务器来打开隐蔽通信通道,以接收指令并执行它们——
!run:使用Node.js的exec函数执行任意shell命令!screenshot:截取整个桌面屏幕截图,并将PNG文件窃取到Discord频道!sendfile:将指定文件上传到Discord频道
Zscaler表示:"这些数据是使用硬编码令牌通过Discord的API进行窃取,并发送到一个私密频道的。被窃取的文件通过Discord的REST端点
/channels/{id}/messages作为消息附件上传。"
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文