Zscaler ThreatLabzの研究者は、NodeCordRATというマルウェアを埋め込むことを目的とした、悪意のある Bitcoin npmパッケージを3つ発見しました。報告によると、これらのパッケージはいずれもnpmレジストリから削除されるまでに3,400回以上ダウンロードされたとのことです。.
bitcoin-main-lib、 bitcoin-lib-js、bip40を含むこれらのパッケージは、それぞれ2,300、193、970件のダウンロード数を記録しました。攻撃者は、実際の Bitcoin コンポーネントの名前と詳細をコピーすることで、これらの類似モジュールを一見無害に見せかけました。.
「 bitcoin -main-lib およびbitcoin -lib-js パッケージはインストール時に postinstall.cjs スクリプトを実行し、悪意のあるペイロードを含むパッケージ bip40 をインストールします」と、 Zscaler ThreatLabz の研究者である Satyam Singh 氏と Lakhan Parashar 氏は述べています。 「ThreatLabz が NodeCordRAT と名付けたこの最終的なペイロードは、データ窃取機能を備えたリモートアクセス型トロイの木馬(RAT)です。」
NodeCordRATはGoogle Chromeの認証dentを盗むために装備されている
Zscaler ThreatLabzのアナリストは、11月にnpmレジストリをスキャンして不審なパッケージや不審なダウンロードパターンを探していた際に、この3つのマルウェアをdentしました。NodeCordRATは、コマンドアンドコントロール(C2)通信にDiscordサーバーを利用する新しいマルウェアファミリーです。.
NodeCordRATは、Google Chromeのログイン情報、.envファイルに保存されたAPIコード、そして秘密鍵やシードフレーズといったMetaMaskウォレットのデータを盗むために構築されました。これら3つの悪意のあるパッケージを投稿した人物は、メールアドレス[email protected]。
攻撃チェーンは、開発者がnpmから bitcoin-main-libまたは bitcoin-lib-jsを知らずにインストールすることから始まります。その後、bip40パッケージのパスをdent、PM2を使用してデタッチモードで起動します。.
このマルウェアは、プラットフォームUUID形式(例:win32-c5a3f1b4)を用いて、侵入先マシンに固有のdentを生成します。これは、Windowsではwmic csproduct get UUID、Linuxシステムでは/etc/machine-idなどのコマンドを使用してシステムUUIDをtracすることで実現されます。.
暗号資産盗難を引き起こした悪意のあるノードパッケージ
Trust Walletは、約850万ドルの盗難は、「Sha1-Hulud NPM」によるnpmエコシステムのサプライチェーンへの攻撃に関連していると述べた。2,500以上のウォレットが影響を受けた。.
ハッカーはハッキングされたnpmをNodeCordRAT型のトロイの木馬やサプライチェーンマルウェアとして利用しました。これはクライアント側のコードに組み込まれ、顧客がウォレットにアクセスした際に金銭を盗み出すものでした。.
NodeCordRAT型の脅威に類似する2025年の事例としては、2025年5月から6月にかけて発生したForce Bridgeエクスプロイトが挙げられます。攻撃者は、バリデータノードがクロスチェーン出金の承認に使用していたソフトウェアまたは秘密鍵のいずれかを窃取しました。これにより、ノードは不正なトランザクションを承認できる悪意のあるアクターへと変貌しました。.
この侵害により、ETH、USDC、USDTなどのトークンを含む推定360万ドル相当の資産が盗まれました。また、ブリッジは業務を停止し、監査を実施することを余儀なくされました。.
9月には、 Shib arium Bridgeのエクスプロイトが発覚し、攻撃者はバリデーターのパワーの大部分を短期間で掌握することに成功しました。CryptopolitanがCryptopolitan、これにより攻撃者は不正なバリデーターノードとして機能し、違法な引き出しを承認し、約280万ドル相当のSHIB 、ETH、BONEトークンを奪取することができました。
