Paket npm Bitcoin berbahaya menyebarkan malware NodeCordRAT sebelum ditutup

Sumber: CryptoNewsNet Judul Asli: Paket npm Bitcoin berbahaya menyebarkan malware NodeCordRAT sebelum ditarik Tautan Asli: Para peneliti di Zscaler ThreatLabz menemukan tiga paket npm Bitcoin berbahaya yang dimaksudkan untuk menyisipkan malware bernama NodeCordRAT. Laporan mengatakan bahwa semuanya mendapatkan lebih dari 3.400 unduhan sebelum dihapus dari registry npm.

Paket-paket tersebut, yang mencakup bitcoin-main-lib, bitcoin-lib-js, dan bip40, telah mengumpulkan 2.300, 193, dan 970 unduhan. Dengan menyalin nama dan detail dari komponen Bitcoin nyata, pelaku membuat modul-modul ini terlihat tidak berbahaya sekilas.

“Paket bitcoin-main-lib dan bitcoin-lib-js menjalankan skrip postinstall.cjs selama instalasi, yang menginstal bip40, paket yang berisi payload berbahaya,” kata peneliti Zscaler ThreatLabz Satyam Singh dan Lakhan Parashar. “Payload terakhir ini, yang dinamai NodeCordRAT oleh ThreatLabz, adalah trojan akses jarak jauh (RAT) dengan kemampuan mencuri data sensitif.”

NodeCordRAT dilengkapi untuk mencuri kredensial Google Chrome, kode API yang disimpan dalam file .env, dan data dompet MetaMask seperti kunci pribadi dan frase seed.

Analis ThreatLabz Zscaler mengidentifikasi ketiga paket tersebut pada bulan November saat memindai registry npm untuk paket mencurigakan dan pola unduhan yang aneh. NodeCordRAT mewakili keluarga malware baru yang memanfaatkan server Discord untuk komunikasi perintah dan kontrol (C2).

Orang yang memposting ketiga paket berbahaya tersebut menggunakan alamat email supertalented730@gmail.com.

Rantai Serangan

Rantai serangan dimulai ketika pengembang tanpa sadar menginstal bitcoin-main-lib atau bitcoin-lib-js dari npm. Kemudian, mereka mengidentifikasi jalur paket bip40 dan menjalankannya dalam mode terpisah menggunakan PM2.

Malware ini menghasilkan pengenal unik untuk mesin yang terinfeksi dengan format platform-uuid, seperti win32-c5a3f1b4. Ini dicapai dengan mengekstrak UUID sistem melalui perintah seperti wmic csproduct get UUID di Windows atau membaca /etc/machine-id di sistem Linux.

Konteks Historis: Paket Node Berbahaya dalam Dunia Crypto

Trust Wallet melaporkan bahwa pencurian hampir $8,5 juta terkait dengan serangan terhadap rantai pasokan ekosistem npm oleh “Sha1-Hulud NPM.” Lebih dari 2.500 dompet terpengaruh.

Peretas menggunakan paket npm yang dikompromikan sebagai trojan bergaya NodeCordRAT dan malware rantai pasokan, mengintegrasikannya ke dalam kode sisi klien yang mencuri uang dari pengguna saat mereka mengakses dompet mereka.

Contoh lain tahun 2025 yang mirip dengan ancaman bergaya NodeCordRAT termasuk eksploit Force Bridge, yang terjadi antara Mei dan Juni 2025. Penyerang mencuri perangkat lunak atau kunci pribadi yang digunakan oleh validator untuk mengotorisasi penarikan lintas rantai. Ini mengubah node menjadi aktor jahat yang dapat menyetujui transaksi penipuan.

Pelanggaraan ini diperkirakan menyebabkan kerugian sekitar $3,6 juta dalam aset yang dicuri, termasuk ETH, USDC, USDT, dan token lainnya. Ini juga memaksa jembatan untuk menghentikan operasi dan melakukan audit.

Pada bulan September, eksploit Shibarium Bridge terjadi, dan penyerang mampu mengendalikan sebagian besar kekuatan validator untuk waktu singkat. Ini memungkinkan mereka berperan sebagai node validator jahat, menandatangani penarikan ilegal, dan mengambil sekitar $2,8 juta dalam token SHIB, ETH, dan BONE.