Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Herramientas de administración remota Malware NodeCordRAT

Malware NodeCordRAT

Por Mezo en Herramientas de administración remota
Traducir a:

Analistas de ciberseguridad han descubierto tres paquetes npm maliciosos diseñados para distribuir un troyano de acceso remoto (RAT) previamente no documentado, ahora identificado como NodeCordRAT. Estos paquetes se eliminaron del registro npm en noviembre de 2025 y fueron publicados por una cuenta que operaba bajo el nombre "wenmoonx".

Paquetes maliciosos identificados:

  • bitcoin-main-lib (≈2300 descargas)
  • bitcoin-lib-js (≈193 descargas)
  • bip40 (≈970 descargas)

Los atacantes seleccionaron deliberadamente nombres que se parecen mucho a repositorios legítimos del conocido ecosistema bitcoinjs, un aparente intento de engañar a los desarrolladores y aumentar la probabilidad de una instalación accidental.

Cadena de infección y entrega de carga útil

La vulnerabilidad comienza al instalar bitcoin-main-lib o bitcoin-lib-js. Ambos paquetes contienen un archivo package.json manipulado que define un script postinstall.cjs. Este script extrae silenciosamente bip40, que aloja el código malicioso.

Una vez ejecutado, bip40 despliega la carga útil final: NodeCordRAT, un troyano de acceso remoto con todas las funciones y funciones de recopilación de datos integradas.

¿Qué es NodeCordRAT?

NodeCordRAT debe su nombre a sus dos principales opciones de diseño: npm como mecanismo de propagación y Discord como plataforma de Comando y Control (C2). Tras la instalación, el malware registra el sistema comprometido para generar un identificador único en hosts Windows, Linux y macOS.

El troyano es capaz de recopilar información confidencial, entre la que se incluye:

  • Credenciales de Google Chrome
  • Tokens de API
  • Secretos de billeteras de criptomonedas, como datos de MetaMask y frases semilla

Todos los datos recopilados se canalizan al atacante a través de la infraestructura de Discord.

Comando y control basado en Discord

En lugar de depender de servidores C2 tradicionales, NodeCordRAT utiliza un servidor Discord y un token codificados para establecer un canal de comunicación encubierto. A través de este canal, los operadores pueden emitir comandos y recibir datos robados.

Los comandos de atacante admitidos incluyen:

  • !run – Ejecuta comandos de shell arbitrarios a través de la función exec de Node.js
  • !screenshot – Captura una captura de pantalla completa del escritorio y extráela como archivo PNG
  • !sendfile – Sube un archivo local específico al canal de Discord

Exfiltración de datos a través de la API de Discord

La exfiltración se gestiona completamente a través de la API REST de Discord. Mediante el token integrado, el malware publica el contenido robado directamente en un canal privado y adjunta archivos a través del endpoint:

/canales/{id}/mensajes

Este enfoque permite a los actores de amenazas combinar tráfico malicioso con actividad legítima de Discord, lo que hace que la detección sea más difícil en entornos donde se permite Discord.

Implicaciones de seguridad

Esta campaña pone de manifiesto el abuso continuo de los ecosistemas de código abierto y las plataformas de colaboración de confianza. Al hacerse pasar por bibliotecas conocidas relacionadas con Bitcoin y utilizar scripts postinstalación como arma, los atacantes crearon una ruta de infección de baja fricción capaz de distribuir un RAT multiplataforma centrado en el robo de credenciales y el control remoto.

Para los equipos de desarrollo y los profesionales de seguridad, el incidente refuerza la importancia de una verificación estricta de las dependencias, el monitoreo de los scripts en tiempo de instalación y la detección de anomalías en el tráfico saliente a plataformas de consumidores como Discord.

Tendencias

Mas Visto

Cargando...