Des chercheurs en cybersécurité découvrent de faux packages npm Bitcoin qui volent des portefeuilles et des clés de récupération de cryptomonnaie 

Des chercheurs de Zscaler ThreatLabz ont découvert trois paquets npm Bitcoin malveillants conçus pour implanter un logiciel malveillant nommé NodeCordRAT. Selon les rapports, chacun de ces paquets a été téléchargé plus de 3 400 fois avant d'être retiré du registre npm.

Les paquets, comprenant bitcoin-main-lib, bitcoin-lib-js et bip40, avaient totalisé respectivement 2 300, 193 et ​​970 téléchargements. En copiant les noms et les détails de véritables composants Bitcoin , l'attaquant a réussi à rendre ces modules contrefaits inoffensifs au premier abord.

« Les bitcoin-main-lib et bitcoin-lib-js exécutent un script postinstall.cjs lors de l'installation, lequel installe bip40, le paquet contenant la charge utile malveillante », ont déclaré Satyam Singh et Lakhan Parashar, chercheurs chez Zscaler ThreatLabz. « Cette charge utile finale, nommée NodeCordRAT par ThreatLabz, est un cheval de Troie d'accès à distance (RAT) capable de voler des données. »

NodeCordRAT est équipé pour voler lesdentGoogle Chrome

Les analystes de Zscaler ThreatLabz ontdentce trio en novembre lors d'une analyse du registre npm à la recherche de paquets suspects et de schémas de téléchargement inhabituels. NodeCordRAT représente une nouvelle famille de logiciels malveillants qui exploite les serveurs Discord pour la communication de commande et de contrôle (C2).

NodeCordRAT a été conçu pour voler les informations de connexion à Google Chrome, les codes API stockés dans les fichiers .env et les données du portefeuille MetaMask, telles que les clés privées et les phrases de récupération. L'auteur des trois paquets malveillants a utilisé l'adresse électronique [email protected].

La chaîne d'attaque commence lorsque des développeurs installent sans le savoir bitcoin-main-lib ou bitcoin-lib-js depuis npm. Ensuite, ledentrepère le chemin du paquet bip40 et le lance en mode détaché à l'aide de PM2.

Le logiciel malveillant génère undentunique pour les machines compromises en utilisant le format platform-uuid, tel que win32-c5a3f1b4. Il y parvient entracles UUID système via des commandes comme wmic csproduct get UUID sous Windows ou en lisant /etc/machine-id sur les systèmes Linux.

Paquets de nœuds malveillants à l'origine de vols de cryptomonnaies

Trust Wallet a déclaré que le vol de près de 8,5 millions de dollars était lié à une attaque contre la chaîne d'approvisionnement de l'écosystème npm par « Sha1-Hulud NPM ». Plus de 2 500 portefeuilles ont été touchés.

Des pirates ont utilisé une version compromise de npm comme cheval de Troie de type NodeCordRAT et comme logiciel malveillant ciblant la chaîne d'approvisionnement. Ce logiciel malveillant a été intégré au code côté client et a permis de dérober de l'argent aux clients lorsqu'ils accédaient à leurs portefeuilles numériques.

Parmi les autres exemples de 2025, qui s'apparentent à la menace de type NodeCordRAT, figure l'exploitation de la faille Force Bridge, survenue entre mai et juin 2025. Des attaquants ont dérobé soit le logiciel, soit les clés privées utilisées par les nœuds validateurs pour autoriser les retraits inter-chaînes. Ces nœuds sont ainsi devenus des acteurs malveillants capables d'approuver des transactions frauduleuses.

Cette faille de sécurité a entraîné le vol d'actifs estimés à 3,6 millions de dollars, notamment en ETH, USDC, USDT et autres jetons. Elle a également contraint la plateforme à interrompre ses opérations et à procéder à des audits.

En septembre, la Shibarium a été découverte, permettant à des attaquants de prendre le contrôle de la majeure partie de la puissance des validateurs pendant une courte période. Comme l' Cryptopolitan, cela leur a permis d'agir comme de faux nœuds validateurs, de valider des retraits illégaux et de s'emparer d'environ 2,8 millions de dollars en SHIB, ETH et BONE.