I ricercatori di sicurezza informatica scoprono falsi pacchetti Bitcoin npm che rubano portafogli e seed di criptovalute 

I ricercatori di Zscaler ThreatLabz hanno individuato tre pacchetti npm Bitcoin dannosi, progettati per impiantare un malware denominato NodeCordRAT. I report affermano che tutti e tre hanno ottenuto più di 3.400 download prima di essere rimossi dal registro npm.

I pacchetti, che includono bitcoin-main-lib, bitcoin-lib-js e bip40, avevano totalizzato rispettivamente 2.300, 193 e 970 download. Copiando nomi e dettagli da componenti Bitcoin reali, l'aggressore ha fatto apparire questi moduli simili come innocui a prima vista.

"I bitcoin-main-lib e bitcoin-lib-js eseguono uno script postinstall.cjs durante l'installazione, che installa bip40, il pacchetto che contiene il payload dannoso", hanno affermato i ricercatori di Zscaler ThreatLabz Satyam Singh e Lakhan Parashar. "Questo payload finale, denominato NodeCordRAT da ThreatLabz, è un trojan di accesso remoto (RAT) con capacità di furto di dati."

NodeCordRAT è attrezzato per rubare ledentdi Google Chrome

Gli analisti di Zscaler ThreatLabz hannodentil trio a novembre, durante la scansione del registro npm alla ricerca di pacchetti sospetti e strani modelli di download. NodeCordRAT rappresenta una nuova famiglia di malware che sfrutta i server Discord per la comunicazione di comando e controllo (C2).

NodeCordRAT è stato creato per rubare le informazioni di accesso a Google Chrome, i codici API contenuti nei file .env e i dati del portafoglio MetaMask, come chiavi private e seed phrase. La persona che ha pubblicato tutti e tre i pacchetti dannosi ha utilizzato l'indirizzo email [email protected].

La catena di attacco inizia quando gli sviluppatori installano inconsapevolmente bitcoin-main-lib o bitcoin-lib-js da npm. Quindidentil percorso del pacchetto bip40 e lo avviano in modalità distaccata utilizzando PM2.

Il malware genera undentunivoco per le macchine compromesse utilizzando il formato platform-uuid, come win32-c5a3f1b4. Lo fatracgli UUID di sistema tramite comandi come wmic csproduct get UUID su Windows o leggendo /etc/machine-id sui sistemi Linux.

Pacchetti di nodi dannosi che hanno causato furti di criptovalute

Trust Wallet ha affermato che il furto di quasi 8,5 milioni di dollari è stato collegato a un attacco alla catena di fornitura dell'ecosistema npm da parte di "Sha1-Hulud NPM". Sono stati colpiti più di 2.500 wallet.

Gli hacker hanno utilizzato un npm hackerato come trojan in stile NodeCordRAT e malware per la supply chain. È stato incorporato nel codice lato client per rubare denaro ai clienti quando accedevano ai loro wallet.

Altri esempi del 2025 che rientrano in due categorie simili alla minaccia in stile NodeCordRAT includono l'exploit Force Bridge, verificatosi tra maggio e giugno 2025. Gli aggressori hanno rubato il software o le chiavi private che i nodi di convalida utilizzavano per autorizzare i prelievi cross-chain. Ciò ha trasformato i nodi in attori malintenzionati in grado di approvare transazioni fraudolente.

Questa violazione ha causato il furto di asset per un valore stimato di 3,6 milioni di dollari, tra cui ETH, USDC, USDT e altri token. Ha inoltre costretto il bridge a interrompere le operazioni e a condurre audit.

A settembre, si è verificata la vulnerabilità del Shibarium, che ha permesso agli aggressori di assumere il controllo della maggior parte del potere dei validatori per un breve periodo. Come rivelato da Cryptopolitan, ciò ha consentito loro di fungere da nodi validatori non validi, autorizzare prelievi illegali e appropriarsi di circa 2,8 milioni di dollari in SHIB, ETH e BONE.