サイバーセキュリティ研究者が、仮想通貨ウォレットとシードを盗む偽の Bitcoin npmパッケージを発見 

Zscaler ThreatLabzの研究者は、NodeCordRATというマルウェアを埋め込むことを目的とした、悪意のある Bitcoin npmパッケージを3つ発見しました。報告によると、これらのパッケージはいずれもnpmレジストリから削除されるまでに3,400回以上ダウンロードされたとのことです。.

bitcoin-main-lib、 bitcoin-lib-js、bip40を含むこれらのパッケージは、それぞれ2,300、193、970件のダウンロード数を記録しました。攻撃者は、実際の Bitcoin コンポーネントの名前と詳細をコピーすることで、これらの類似モジュールを一見無害に見せかけました。.

「 bitcoin-main-libと bitcoin-lib-jsパッケージは、インストール時にpostinstall.cjsスクリプトを実行し、悪意のあるペイロードを含むパッケージであるbip40をインストールします」と、 Zscaler ThreatLabzの研究者であるSatyam Singh氏とLakhan Parashar氏は述べています。 「ThreatLabzがNodeCordRATと名付けたこの最終的なペイロードは、データ窃盗機能を備えたリモートアクセス型トロイの木馬（RAT）です。」

NodeCordRATはGoogle Chromeの認証dentを盗むために装備されている

Zscaler ThreatLabzのアナリストは、11月にnpmレジストリをスキャンして不審なパッケージや不審なダウンロードパターンを探していた際に、この3つのマルウェアをdentしました。NodeCordRATは、コマンドアンドコントロール（C2）通信にDiscordサーバーを利用する新しいマルウェアファミリーです。.

NodeCordRATは、Google Chromeのログイン情報、.envファイルに保存されたAPIコード、そして秘密鍵やシードフレーズといったMetaMaskウォレットのデータを盗むために構築されました。これら3つの悪意のあるパッケージを投稿した人物は、メールアドレス [email protected]。

攻撃チェーンは、開発者がnpmから bitcoin-main-libまたは bitcoin-lib-jsを知らずにインストールすることから始まります。その後、bip40パッケージのパスをdent、PM2を使用してデタッチモードで起動します。.

このマルウェアは、プラットフォームUUID形式（例：win32-c5a3f1b4）を用いて、侵入先マシンに固有のdentを生成します。これは、Windowsではwmic csproduct get UUID、Linuxシステムでは/etc/machine-idなどのコマンドを使用してシステムUUIDをtracすることで実現されます。.

暗号資産盗難を引き起こした悪意のあるノードパッケージ

Trust Walletは、約850万ドルの盗難は、「Sha1-Hulud NPM」によるnpmエコシステムのサプライチェーンへの攻撃に関連していると述べた。2,500以上のウォレットが影響を受けた。.

ハッカーはハッキングされたnpmをNodeCordRAT型のトロイの木馬やサプライチェーンマルウェアとして利用しました。これはクライアント側のコードに組み込まれ、顧客がウォレットにアクセスした際に金銭を盗み出すものでした。.

NodeCordRAT型の脅威に類似する2025年の事例としては、2025年5月から6月にかけて発生したForce Bridgeエクスプロイトが挙げられます。攻撃者は、バリデータノードがクロスチェーン出金の承認に使用していたソフトウェアまたは秘密鍵のいずれかを窃取しました。これにより、ノードは不正なトランザクションを承認できる悪意のあるアクターへと変貌しました。.

この侵害により、ETH、USDC、USDTなどのトークンを含む推定360万ドル相当の資産が盗まれました。また、ブリッジは業務を停止し、監査を実施することを余儀なくされました。.

9月、 Shibarium Bridgeの脆弱性が露呈し、攻撃者は短時間ながらバリデーターの権限の大部分を掌握することに成功した。Cryptopolitanが明らかにしたところによると Cryptopolitanにより攻撃者は不正なバリデーターノードとして機能し、不正な引き出しを承認し、 SHIB、ETH、BONEトークンで約280万ドルを不正に取得した。これ