NodeCordRAT: Como o Malware se Esconde em Pacotes npm de Bitcoin

O NodeCordRAT é um malware que se esconde em pacotes npm de Bitcoin. Saiba como ele age e como se proteger.
Facebook Twitter Youtube

Pesquisadores de segurança da Zscaler identificaram uma nova ameaça cibernética: o NodeCordRAT. Este malware de acesso remoto se infiltra em sistemas por meio de pacotes npm maliciosos, disfarcados como bibliotecas relacionadas à criptomoeda Bitcoin. A descoberta revela uma estratégia sofisticada de engenharia social, visando desenvolvedores e usuários que lidam com moedas digitais.

Como o NodeCordRAT se Dissemina

Os pacotes maliciosos, enviados pelo usuário wenmoonx, foram removidos em novembro de 2025. No entanto, antes disso, acumularam downloads significativos:



  • bitcoin-main-lib: 2.300 downloads;
  • bitcoin-lib-js: 193 downloads;
  • bip40: 970 downloads.

Durante a instalação, os dois primeiros pacotes executam um script postinstall.cjs, que instala o bip40. Este último contém o payload malicioso do NodeCordRAT. Portanto, desenvolvedores devem verificar a autenticidade dos pacotes antes de integrá-los aos seus projetos.

Funcionalidades do NodeCordRAT

A ThreatLabz classificou o NodeCordRAT como um trojan de acesso remoto (RAT). Além de roubar dados, ele utiliza o npm como vetor de propagação e servidores do Discord para comunicações de comando e controle (C2). Entre os dados alvo estão:

  • Credenciais do Chrome;
  • Tokens de API;
  • Frases seed de carteiras de criptomoeda, como a MetaMask.

Ao infectar uma máquina, o malware realiza um fingerprinting para gerar um identificador único do sistema operacional. Em seguida, um servidor do Discord recebe e executa instruções, como:



  • !run: executa comandos shell via Node.js;
  • !screenshot: captura imagens da área de trabalho;
  • !sendfile: envia arquivos específicos para o Discord.

Todas as comunicações ocorrem por meio de uma API do Discord, usando um token fixo no endpoint REST /channels/{id}/messages. Embora os pacotes maliciosos tenham sido removidos, desenvolvedores devem manter a cautela ao baixar bibliotecas, verificando comentários e popularidade.

Medidas de Proteção

Para evitar infecções pelo NodeCordRAT, siga estas recomendações:

  1. Verifique a reputação do autor do pacote;
  2. Analise comentários e avaliações de outros usuários;
  3. Evite pacotes com poucos downloads ou sem documentação clara;
  4. Utilize ferramentas de análise de segurança em seu ambiente de desenvolvimento.

Em conclusão, o NodeCordRAT representa uma ameaça significativa para a comunidade de desenvolvedores. Portanto, a vigilância constante e a adoção de práticas seguras são essenciais para mitigar riscos.