Cybersicherheitsforscher entdecken gefälschte Bitcoin -npm-Pakete, die Krypto-Wallets und Seeds stehlen 

Forscher von Zscaler ThreatLabz haben drei schädliche Bitcoin -npm-Pakete entdeckt, die die Malware NodeCordRAT einschleusen sollen. Berichten zufolge wurden sie jeweils mehr als 3.400 Mal heruntergeladen, bevor sie aus dem npm-Repository entfernt wurden.

Die Pakete, darunter bitcoin-main-lib, bitcoin-lib-js und bip40, wurden 2.300, 193 bzw. 970 Mal heruntergeladen. Indem der Angreifer Namen und Details von echten Bitcoin Komponenten kopierte, ließ er diese gefälschten Module auf den ersten Blick harmlos erscheinen.

„Die bitcoin-main-lib und bitcoin-lib-js führen während der Installation ein postinstall.cjs-Skript aus, das bip40 installiert – das Paket, das die Schadsoftware enthält“, erklärten die Forscher Satyam Singh und Lakhan Parashar von Zscaler ThreatLabz. „Diese Schadsoftware, von ThreatLabz NodeCordRAT genannt, ist ein Remote-Access-Trojaner (RAT) mit der Fähigkeit zum Datendiebstahl.“

NodeCordRAT ist in der Lage, Google Chrome-dentzu stehlen

Die Analysten von Zscaler ThreatLabzdentdas Trio im November bei der Durchsuchung der npm-Registry nach verdächtigen Paketen und ungewöhnlichen Downloadmustern. NodeCordRAT repräsentiert eine neue Malware-Familie, die Discord-Server für die Command-and-Control-Kommunikation (C2) nutzt.

NodeCordRAT wurde entwickelt, um Google Chrome-Anmeldeinformationen, in .env-Dateien gespeicherte API-Codes und MetaMask-Wallet-Daten wie private Schlüssel und Seed-Phrasen zu stehlen. Die Person, die alle drei Schadprogramme veröffentlicht hat, verwendete die E-Mail-Adresse [email protected].

Die Angriffskette beginnt, wenn Entwickler unwissentlich bitcoin-main-lib oder bitcoin-lib-js über npm installieren. Anschließend wird der Pfad des bip40-Paketsdentund dieses mithilfe von PM2 im Hintergrundmodus gestartet.

Die Schadsoftware generiert für kompromittierte Rechner eine eindeutigedentim Format Plattform-UUID, beispielsweise win32-c5a3f1b4. Dies geschieht durch dastracvon System-UUIDs mittels Befehlen wie wmic csproduct get UUID unter Windows oder durch das Lesen der Datei /etc/machine-id unter Linux-Systemen.

Schädliche Node-Pakete, die zu Kryptodiebstählen führten

Trust Wallet gab bekannt, dass der Diebstahl von fast 8,5 Millionen US-Dollar mit einem Angriff auf die Lieferkette des npm-Ökosystems durch „Sha1-Hulud NPM“ in Verbindung steht. Mehr als 2.500 Wallets waren betroffen.

Hacker nutzten ein manipuliertes npm-Paket als Trojaner vom Typ NodeCordRAT und als Malware für Lieferkettenangriffe. Es wurde in clientseitigen Code integriert, der Kunden beim Zugriff auf ihre Wallets Geld stahl.

Weitere Beispiele aus dem Jahr 2025, die in zwei Kategorien fallen und der Bedrohung durch NodeCordRAT ähneln, umfassen den Force-Bridge-Exploit, der zwischen Mai und Juni 2025 auftrat. Angreifer stahlen entweder die Software oder die privaten Schlüssel, die Validator-Nodes zur Autorisierung von kettenübergreifenden Auszahlungen verwendeten. Dadurch wurden die Nodes zu Angreifern, die betrügerische Transaktionen genehmigen konnten.

Durch diesen Sicherheitsvorfall wurden Vermögenswerte im Wert von schätzungsweise 3,6 Millionen US-Dollar gestohlen, darunter ETH, USDC, USDT und andere Token. Zudem musste die Kryptobörse ihren Betrieb einstellen und Prüfungen durchführen.

Im September wurde die Sicherheitslücke in der ShibBridge entdeckt, wodurch Angreifer kurzzeitig die Kontrolle über einen Großteil der Validator-Funktionen erlangen konnten. Wie Cryptopolitanim Wert von rund 2,8 Millionen US-Dollar zu erbeuten SHIB, ETH- und BONE-Token berichtete , ermöglichte ihnen dies, als manipulierte Validator-Nodes zu fungieren, illegale Auszahlungen zu genehmigen und