Investigadores de ciberseguridad descubren paquetes npm Bitcoin falsos que roban carteras y semillas de criptomonedas 

Investigadores de Zscaler ThreatLabz han encontrado tres paquetes npm maliciosos Bitcoin diseñados para implantar malware llamado NodeCordRAT. Según informes, todos ellos tuvieron más de 3400 descargas antes de ser eliminados del registro npm.

Los paquetes, que incluyen bitcoin-main-lib, bitcoin-lib-js y bip40, acumularon 2300, 193 y 970 descargas. Al copiar nombres y detalles de componentes reales Bitcoin , el atacante logró que estos módulos similares parecieran inofensivos a simple vista.

“Los bitcoinbitcoinbitcoin bitcoinbitcoinbitcoinbitcoin bitcoinbitcoin-lib-js ejecutan un script postinstall.cjs durante la instalación, que instala bip40, el paquete que contiene la carga útil maliciosa”, explicaron los investigadores de Zscaler ThreatLabz, Satyam Singh y Lakhan Parashar. “Esta carga útil final, denominada NodeCordRAT por ThreatLabz, es un troyano de acceso remoto (RAT) con capacidad para robar datos”.

NodeCordRAT está equipado para robardentde Google Chrome

Los analistas de Zscaler ThreatLabzdentel trío en noviembre al escanear el registro npm en busca de paquetes sospechosos y patrones de descarga extraños. NodeCordRAT representa una nueva familia de malware que utiliza servidores de Discord para la comunicación de comando y control (C2).

NodeCordRAT fue creado para robar información de inicio de sesión de Google Chrome, códigos API guardados en archivos .env y datos de la billetera MetaMask, como claves privadas y frases semilla. La persona que publicó los tres paquetes maliciosos usó la dirección de correo electrónico [email protected].

La cadena de ataque comienza cuando los desarrolladores instalan, sin saberlo, bitcoin-main-lib o bitcoin-lib-js desde npm. Luego,dentla ruta del paquete bip40 y lo inicia en modo independiente usando PM2.

El malware genera undentúnico para las máquinas comprometidas utilizando el formato "platform-uuid", como win32-c5a3f1b4. Lo logratraclos UUID del sistema mediante comandos como "wmic csproduct get UUID" en Windows o leyendo "/etc/machine-id" en sistemas Linux.

Paquetes de nodos maliciosos que provocaron robos de criptomonedas

Trust Wallet afirmó que el robo de casi 8,5 millones de dólares estuvo relacionado con un ataque a la cadena de suministro del ecosistema npm perpetrado por "Sha1-Hulud NPM". Más de 2500 billeteras se vieron afectadas.

Los hackers utilizaron un npm pirateado como troyanos tipo NodeCordRAT y malware para la cadena de suministro. Se incorporó al código del lado del cliente y robó dinero a los clientes cuando accedieron a sus billeteras.

Otros ejemplos de 2025 que se clasifican en dos categorías similares a la amenaza de tipo NodeCordRAT incluyen el exploit Force Bridge, que ocurrió entre mayo y junio de 2025. Los atacantes robaron el software o las claves privadas que los nodos validadores usaban para autorizar retiros entre cadenas. Esto convirtió a los nodos en actores maliciosos capaces de aprobar transacciones fraudulentas.

Esta brecha resultó en el robo de aproximadamente $3.6 millones en activos, incluyendo ETH, USDC, USDT y otros tokens. También obligó al puente a detener sus operaciones y realizar auditorías.

En septiembre, se produjo la Shibarium Bridge, y los atacantes lograron tomar el control de la mayor parte del poder de validación durante un breve período. Como reveló Cryptopolitan SHIBSHIB SHIBSHIBesto les permitió actuar como nodos validadores maliciosos, autorizar retiros ilegales y sustraer alrededor de 2,8 millones de dólares en SHIBSHIB SHIBSHIB, ETH y BONE.