Pesquisadores de cibersegurança identificaram três pacotes maliciosos no npm que distribuíam um malware até então desconhecido, chamado NodeCordRAT.
Os pacotes, todos removidos em novembro de 2025, foram publicados por um usuário identificado como "wenmoonx".
São eles:
- bitcoin-main-lib (2.300 downloads)
- bitcoin-lib-js (193 downloads)
- bip40 (970 downloads)
De acordo com os especialistas do Zscaler ThreatLabz, Satyam Singh e Lakhan Parashar, os pacotes bitcoin-main-lib e bitcoin-lib-js executam um script chamado postinstall.cjs durante a instalação.
Esse script instala o pacote bip40, que contém o payload malicioso. O NodeCordRAT é um trojan de acesso remoto (RAT) com capacidade para roubar informações sensíveis.
O nome faz referência ao uso do npm como vetor de propagação e do Discord como canal de comando e controle (C2).
O malware captura credenciais do Google Chrome, tokens de API e frases-semente de carteiras de criptomoedas como a MetaMask.
Segundo a empresa de segurança, o atacante escolheu nomes semelhantes a repositórios legítimos do projeto bitcoinjs, como bitcoinjs-lib, bip32 e bip38, na tentativa de passar despercebido.
Os pacotes bitcoin-main-lib e bitcoin-lib-js contém arquivos package.json que executam o script postinstall.cjs, responsável por iniciar o bip40 com o payload NodeCordRAT.
Além de identificar o sistema infectado, gerando um identificador único para ambientes Windows, Linux e macOS, o malware utiliza um servidor Discord codificado para abrir um canal oculto de comunicação.
Por esse canal, recebe comandos para:
- !run: executar comandos arbitrários via função exec do Node.js
- !screenshot: capturar a tela completa e enviar a imagem em PNG para o canal no Discord
- !sendfile: enviar um arquivo especificado para o Discord
O Zscaler explica que os dados roubados são exfiltrados pela API do Discord, utilizando um token fixo, e enviados a um canal privado.
Os arquivos são anexados às mensagens por meio do endpoint REST /channels/{id}/messages.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...