ソース:CryptoNewsNetオリジナルタイトル:悪意のあるBitcoin npmパッケージがNodeCordRATマルウェアを拡散、撤去前にオリジナルリンク:Zscaler ThreatLabzの研究者たちは、NodeCordRATというマルウェアを埋め込むことを目的とした3つの悪意のあるBitcoin npmパッケージを発見しました。報告によると、これらはすべてnpmレジストリから削除される前に3,400回以上ダウンロードされていました。これらのパッケージにはbitcoin-main-lib、bitcoin-lib-js、bip40が含まれ、それぞれ2,300、193、970回のダウンロードを記録しています。攻撃者は、実際のBitcoinコンポーネントの名前や詳細をコピーすることで、これらの類似モジュールを一見無害に見せかけました。*"bitcoin-main-libとbitcoin-lib-jsパッケージは、インストール時にpostinstall.cjsスクリプトを実行し、その中で悪意のあるペイロードを含むbip40をインストールします,"*とZscaler ThreatLabzの研究者Satyam SinghとLakhan Parasharは述べています。*“この最終的なペイロードはThreatLabzによってNodeCordRATと命名されており、(RAT)と呼ばれるリモートアクセス型トロイの木馬で、機密データを盗む能力があります。”*NodeCordRATは、Google Chromeの資格情報、.envファイルに保存されたAPIコード、MetaMaskウォレットの秘密鍵やシードフレーズなどを盗むことができます。Zscaler ThreatLabzの分析者たちは、2023年11月にnpmレジストリをスキャンして怪しいパッケージや奇妙なダウンロードパターンを調査して、この3つのパッケージを特定しました。NodeCordRATは、Discordサーバーをコマンド&コントロール(C2)通信に利用する新しいマルウェアファミリーを表しています。これらの悪意のある3つのパッケージを投稿した人物は、super-talented730@gmail.comというメールアドレスを使用していました。## 攻撃の流れ攻撃の流れは、開発者が無意識のうちにnpmからbitcoin-main-libまたはbitcoin-lib-jsをインストールすることから始まります。その後、bip40パッケージのパスを特定し、PM2を使ってデタッチモードで起動します。マルウェアは、platform-uuid形式の一意の識別子を生成します。例としてwin32-c5a3f1b4などです。これは、Windows上でwmic csproduct get UUIDコマンドを実行したり、Linuxシステムで/etc/machine-idを読み取ったりすることで、システムUUIDを抽出して得られます。## 歴史的背景:暗号通貨における悪意のNodeパッケージTrust Walletは、約850万ドルの盗難が「Sha1-Hulud NPM」というnpmエコシステムのサプライチェーン攻撃に関連していると報告しました。2,500以上のウォレットが影響を受けました。ハッカーは、NodeCordRATスタイルのトロイの木馬やサプライチェーンマルウェアとして改ざんされたnpmパッケージを利用し、クライアント側のコードに組み込むことで、ユーザーがウォレットにアクセスした際に資金を盗みました。2025年の他の例としては、5月から6月にかけて発生したForce Bridgeの脆弱性があります。攻撃者は、バリデータノードがクロスチェーンの引き出しを承認するために使用していたソフトウェアまたは秘密鍵を盗み、ノードを悪意のある行為者に変えてしまいました。この侵害により、ETH、USDC、USDTなどを含む推定360万ドルの資産が盗まれ、ブリッジの運用停止と監査が行われました。9月にはShibarium Bridgeの脆弱性が明らかになり、攻撃者は一時的にほとんどのバリデータの権限を掌握しました。これにより、不正な引き出しを承認したり、約280万ドルのSHIB、ETH、BONEトークンを盗んだりすることが可能になりました。
悪意のあるBitcoin npmパッケージが、NodeCordRATマルウェアを拡散してから削除される
ソース:CryptoNewsNet オリジナルタイトル:悪意のあるBitcoin npmパッケージがNodeCordRATマルウェアを拡散、撤去前に オリジナルリンク: Zscaler ThreatLabzの研究者たちは、NodeCordRATというマルウェアを埋め込むことを目的とした3つの悪意のあるBitcoin npmパッケージを発見しました。報告によると、これらはすべてnpmレジストリから削除される前に3,400回以上ダウンロードされていました。
これらのパッケージにはbitcoin-main-lib、bitcoin-lib-js、bip40が含まれ、それぞれ2,300、193、970回のダウンロードを記録しています。攻撃者は、実際のBitcoinコンポーネントの名前や詳細をコピーすることで、これらの類似モジュールを一見無害に見せかけました。
"bitcoin-main-libとbitcoin-lib-jsパッケージは、インストール時にpostinstall.cjsスクリプトを実行し、その中で悪意のあるペイロードを含むbip40をインストールします,"とZscaler ThreatLabzの研究者Satyam SinghとLakhan Parasharは述べています。“この最終的なペイロードはThreatLabzによってNodeCordRATと命名されており、(RAT)と呼ばれるリモートアクセス型トロイの木馬で、機密データを盗む能力があります。”
NodeCordRATは、Google Chromeの資格情報、.envファイルに保存されたAPIコード、MetaMaskウォレットの秘密鍵やシードフレーズなどを盗むことができます。
Zscaler ThreatLabzの分析者たちは、2023年11月にnpmレジストリをスキャンして怪しいパッケージや奇妙なダウンロードパターンを調査して、この3つのパッケージを特定しました。NodeCordRATは、Discordサーバーをコマンド&コントロール(C2)通信に利用する新しいマルウェアファミリーを表しています。
これらの悪意のある3つのパッケージを投稿した人物は、super-talented730@gmail.comというメールアドレスを使用していました。
攻撃の流れ
攻撃の流れは、開発者が無意識のうちにnpmからbitcoin-main-libまたはbitcoin-lib-jsをインストールすることから始まります。その後、bip40パッケージのパスを特定し、PM2を使ってデタッチモードで起動します。
マルウェアは、platform-uuid形式の一意の識別子を生成します。例としてwin32-c5a3f1b4などです。これは、Windows上でwmic csproduct get UUIDコマンドを実行したり、Linuxシステムで/etc/machine-idを読み取ったりすることで、システムUUIDを抽出して得られます。
歴史的背景:暗号通貨における悪意のNodeパッケージ
Trust Walletは、約850万ドルの盗難が「Sha1-Hulud NPM」というnpmエコシステムのサプライチェーン攻撃に関連していると報告しました。2,500以上のウォレットが影響を受けました。
ハッカーは、NodeCordRATスタイルのトロイの木馬やサプライチェーンマルウェアとして改ざんされたnpmパッケージを利用し、クライアント側のコードに組み込むことで、ユーザーがウォレットにアクセスした際に資金を盗みました。
2025年の他の例としては、5月から6月にかけて発生したForce Bridgeの脆弱性があります。攻撃者は、バリデータノードがクロスチェーンの引き出しを承認するために使用していたソフトウェアまたは秘密鍵を盗み、ノードを悪意のある行為者に変えてしまいました。
この侵害により、ETH、USDC、USDTなどを含む推定360万ドルの資産が盗まれ、ブリッジの運用停止と監査が行われました。
9月にはShibarium Bridgeの脆弱性が明らかになり、攻撃者は一時的にほとんどのバリデータの権限を掌握しました。これにより、不正な引き出しを承認したり、約280万ドルのSHIB、ETH、BONEトークンを盗んだりすることが可能になりました。