Pesquisadores de cibersegurança descobrem pacotes npm falsos Bitcoin que roubam carteiras e seeds de criptomoedas 

Pesquisadores do Zscaler ThreatLabz encontraram três pacotes npm maliciosos Bitcoin , destinados a implantar o malware NodeCordRAT. Segundo relatos, todos eles obtiveram mais de 3.400 downloads antes de serem removidos do registro npm.

Os pacotes, que incluem bitcoin-main-lib, bitcoin-lib-js e bip40, acumularam 2.300, 193 e 970 downloads, respectivamente. Ao copiar nomes e detalhes de componentes reais Bitcoin , o atacante fez com que esses módulos falsos parecessem inofensivos à primeira vista.

“Os bitcoinbitcoinbitcoin bitcoinbitcoinbitcoinbitcoin bitcoinbitcoin-lib-js executam um script postinstall.cjs durante a instalação, que instala o bip40, pacote que contém a carga maliciosa”, afirmaram Satyam Singh e Lakhan Parashar, pesquisadores do Zscaler ThreatLabz. “Essa carga final, denominada NodeCordRAT pelo ThreatLabz, é um trojan de acesso remoto (RAT) com capacidade de roubo de dados.”

O NodeCordRAT está equipado para roubardentdo Google Chrome

Os analistas do Zscaler ThreatLabzdento trio em novembro, enquanto examinavam o registro npm em busca de pacotes suspeitos e padrões de download estranhos. O NodeCordRAT representa uma nova família de malware que utiliza servidores Discord para comunicação de comando e controle (C2).

O NodeCordRAT foi criado para roubar informações de login do Google Chrome, códigos de API armazenados em arquivos .env e dados da carteira MetaMask, como chaves privadas e frases de recuperação. A pessoa que publicou os três pacotes maliciosos usou o endereço de e-mail [email protected].

A cadeia de ataque começa quando os desenvolvedores instalam, sem saber, o pacote bitcoin-main-lib ou bitcoin-lib-js do npm. Em seguida, odentidentifica o caminho do pacote bip40 e o inicia em modo separado usando o PM2.

O malware gera umdentúnico para máquinas comprometidas usando o formato platform-uuid, como win32-c5a3f1b4. Ele consegue issotracos UUIDs do sistema por meio de comandos como wmic csproduct get UUID no Windows ou lendo /etc/machine-id em sistemas Linux.

Pacotes de nós maliciosos que causaram roubos de criptomoedas

A Trust Wallet afirmou que o roubo de quase US$ 8,5 milhões estava relacionado a um ataque à cadeia de suprimentos do ecossistema npm realizado pelo agente “Sha1-Hulud NPM”. Mais de 2.500 carteiras foram afetadas.

Hackers usaram uma versão comprometida do npm como trojans do tipo NodeCordRAT e malware para a cadeia de suprimentos. O malware foi incorporado ao código do lado do cliente para roubar dinheiro dos usuários quando estes acessavam suas carteiras digitais.

Outros exemplos de 2025 que se enquadram em duas categorias semelhantes à ameaça do tipo NodeCordRAT incluem a exploração da Force Bridge, ocorrida entre maio e junho de 2025. Os atacantes roubaram o software ou as chaves privadas que os nós validadores usavam para autorizar saques entre blockchains. Isso transformou os nós em agentes maliciosos capazes de aprovar transações fraudulentas.

Essa violação resultou no roubo estimado de US$ 3,6 milhões em ativos, incluindo ETH, USDC, USDT e outros tokens. Também forçou a ponte a interromper suas operações e realizar auditorias.

Em setembro, a Shibarium Bridge foi explorada, permitindo que atacantes assumissem o controle da maior parte do poder de validação por um curto período. Conforme revelado pelo SHIBSHIB SHIBSHIB, isso possibilitou que eles atuassem como nós validadores maliciosos, aprovassem saques ilegais e desviassem cerca de US$ 2,8 milhões em SHIBSHIB SHIBSHIB, ETH e BONE.