Novo malware NodeCordRAT se esconde em pacotes npm com temática bitcoin
Pesquisadores de segurança da empresa Zscaler descobriram três pacotes npm maliciosos que entregam um malware de acesso remoto chamado NodeCordRAT: todos os três imitam bibliotecas ligadas à criptomoeda Bitcoin, ameaçando usuários que trabalham com a moeda digital. O que é Engenharia Social? Aprenda a identificar e se proteger de golpes Ataque a pacotes com 2 bilhões de downloads semanais abala ecossistema npm Os pacotes foram tirados do ar ainda em novembro de 2025, todos enviados às plataformas pelo usuário wenmoonx. São eles o bitcoin-main-lib (com 2.300 downloads), bitcoin-lib-js (193) e bip40 (970). Durante a instalação, estes dois primeiros executam um script postinstall.cjs, instalando o bip40, pacote que contém o payload malicioso. O que faz o NodeCordRAT O nome NodeCordRAT veio da empresa de segurança ThreatLabz, que o avaliou como um trojan de acesso remoto (RAT) capaz de roubar dados, além de usar npm como um vetor de propagação e servidores do Discord para comunicações de comando e controle (C2). Os itens roubados são, principalmente, credenciais do Chrome, tokens de API e frases seed de carteiras de criptomoeda como a MetaMask. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Esquema de infecção do malware NodeCordRAT através de pacotes npm infectados (Imagem: Zscaler/ThreatLabz) Ao invadir a máquina da vítima, o malware faz um fingerprinting para gerar um identificador único para cada sistema operacional. Um servidor do Discord, então, recebe instruções e as executa na máquina. Elas incluem !run, para gerar comandos shell com a funções exec do Node.js, !screenshot, para gerar capturas de tela da área de trabalho e enviá-las pelo servidor, e !sendfile, para subir arquivos específicos ao Discord. Tudo é mandado por uma API do Discord com um token fixo, pelo enpoint REST /channels/{id}/messages do aplicativo. Como a imitação do projeto legítimo bitcoinjs já foi tirada do ar, não há com que desenvolvedores se preocuparem no momento, mas calha sempre ter atenção com os pacotes baixados, checando comentários e a popularidade dos arquivos com antecedência. Confira também: Cuidado com o Boto: novo golpe no WhatsApp seduz vítimas com linguagem casual Hackers exploram brecha em roteadores D-Link fora de linha; veja como resolver Operação contra Maduro: ataque hacker pode ter causado apagão na Venezuela VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts Leia a matéria no Canaltech.