Paquetes maliciosos de Bitcoin en npm distribuyen malware NodeCordRAT antes de su eliminación

Fuente: CryptoNewsNet Título original: Los paquetes maliciosos de Bitcoin en npm difunden malware NodeCordRAT antes de ser eliminados Enlace original: Los investigadores de Zscaler ThreatLabz han encontrado tres paquetes maliciosos de Bitcoin en npm que están diseñados para implantar malware llamado NodeCordRAT. Los informes indican que todos tuvieron más de 3,400 descargas antes de ser eliminados del registro de npm.

Los paquetes, que incluyen bitcoin-main-lib, bitcoin-lib-js y bip40, habían acumulado 2,300, 193 y 970 descargas respectivamente. Al copiar nombres y detalles de componentes reales de Bitcoin, el atacante hizo que estos módulos similares parecieran inofensivos a simple vista.

“Los paquetes bitcoin-main-lib y bitcoin-lib-js ejecutan un script postinstall.cjs durante la instalación, que instala bip40, el paquete que contiene la carga útil maliciosa,” dijeron los investigadores de Zscaler ThreatLabz, Satyam Singh y Lakhan Parashar. “Esta carga útil final, llamada NodeCordRAT por ThreatLabz, es un troyano de acceso remoto (RAT) con capacidades para robar datos sensibles.”

NodeCordRAT está equipado para robar credenciales de Google Chrome, códigos API almacenados en archivos .env y datos de la billetera MetaMask, como claves privadas y frases semilla.

Los analistas de Zscaler ThreatLabz identificaron al trío en noviembre mientras escaneaban el registro de npm en busca de paquetes sospechosos y patrones de descarga extraños. NodeCordRAT representa una nueva familia de malware que aprovecha servidores de Discord para la comunicación de mando y control (C2).

La persona que publicó los tres paquetes maliciosos utilizó la dirección de correo electrónico supertalented730@gmail.com.

Cadena de ataque

La cadena de ataque comienza cuando los desarrolladores instalan sin saberlo bitcoin-main-lib o bitcoin-lib-js desde npm. Luego, identifica la ruta del paquete bip40 y lo inicia en modo desacoplado usando PM2.

El malware genera un identificador único para las máquinas comprometidas usando el formato plataforma-uuid, como win32-c5a3f1b4. Esto lo logra extrayendo UUIDs del sistema mediante comandos como wmic csproduct get UUID en Windows o leyendo /etc/machine-id en sistemas Linux.

Contexto histórico: Paquetes Node maliciosos en Crypto

Trust Wallet informó que el robo de casi 8,5 millones de dólares estuvo relacionado con un ataque a la cadena de suministro del ecosistema npm por parte de “Sha1-Hulud NPM.” Más de 2,500 billeteras fueron afectadas.

Los hackers utilizaron paquetes npm comprometidos como troyanos estilo NodeCordRAT y malware de cadena de suministro, incorporándolos en código del lado del cliente que robaba dinero a los usuarios cuando accedían a sus billeteras.

Otros ejemplos de 2025 que se parecen a la amenaza estilo NodeCordRAT incluyen la explotación de Force Bridge, que ocurrió entre mayo y junio de 2025. Los atacantes robaron ya sea el software o las claves privadas que los nodos validadores usaban para autorizar retiros entre cadenas. Esto convirtió a los nodos en actores maliciosos que podían aprobar transacciones fraudulentas.

Esta brecha resultó en un robo estimado de 3,6 millones de dólares en activos, incluyendo ETH, USDC, USDT y otros tokens. También obligó a la puente a detener operaciones y realizar auditorías.

En septiembre, se produjo la explotación de Shibarium Bridge, y los atacantes lograron tomar el control de la mayor parte del poder de validación durante un corto período. Esto les permitió actuar como malos nodos validadores, aprobar retiros ilegales y llevarse aproximadamente 2,8 millones de dólares en tokens SHIB, ETH y BONE.