Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Pesquisadores de segurança da empresa Zscaler descobriram três pacotes npm maliciosos que entregam um malware de acesso remoto chamado NodeCordRAT: todos os três imitam bibliotecas ligadas à criptomoeda Bitcoin, ameaçando usuários que trabalham com a moeda digital.
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
- Ataque a pacotes com 2 bilhões de downloads semanais abala ecossistema npm
Os pacotes foram tirados do ar ainda em novembro de 2025, todos enviados às plataformas pelo usuário wenmoonx. São eles o bitcoin-main-lib (com 2.300 downloads), bitcoin-lib-js (193) e bip40 (970). Durante a instalação, estes dois primeiros executam um script postinstall.cjs, instalando o bip40, pacote que contém o payload malicioso.
O que faz o NodeCordRAT
O nome NodeCordRAT veio da empresa de segurança ThreatLabz, que o avaliou como um trojan de acesso remoto (RAT) capaz de roubar dados, além de usar npm como um vetor de propagação e servidores do Discord para comunicações de comando e controle (C2). Os itens roubados são, principalmente, credenciais do Chrome, tokens de API e frases seed de carteiras de criptomoeda como a MetaMask.
Ao invadir a máquina da vítima, o malware faz um fingerprinting para gerar um identificador único para cada sistema operacional. Um servidor do Discord, então, recebe instruções e as executa na máquina. Elas incluem !run, para gerar comandos shell com a funções exec do Node.js, !screenshot, para gerar capturas de tela da área de trabalho e enviá-las pelo servidor, e !sendfile, para subir arquivos específicos ao Discord.
Tudo é mandado por uma API do Discord com um token fixo, pelo enpoint REST /channels/{id}/messages do aplicativo. Como a imitação do projeto legítimo bitcoinjs já foi tirada do ar, não há com que desenvolvedores se preocuparem no momento, mas calha sempre ter atenção com os pacotes baixados, checando comentários e a popularidade dos arquivos com antecedência.
Confira também:
- Cuidado com o Boto: novo golpe no WhatsApp seduz vítimas com linguagem casual
- Hackers exploram brecha em roteadores D-Link fora de linha; veja como resolver
- Operação contra Maduro: ataque hacker pode ter causado apagão na Venezuela
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Fonte: Zscaler