Исследователи в области кибербезопасности обнаружили поддельные npm-пакеты Bitcoin , которые крадут криптокошельки и сид-фразы 

Исследователи из Zscaler ThreatLabz обнаружили три вредоносных пакета npm Bitcoin , предназначенных для внедрения вредоносного ПО под названием NodeCordRAT. Сообщается, что каждый из них был скачан более 3400 раз, прежде чем его удалили из реестра npm.

Пакеты, включающие bitcoin-main-lib, bitcoin-lib-js и bip40, были загружены 2300, 193 и 970 раз соответственно. Копируя имена и данные реальных компонентов Bitcoin , злоумышленник сделал эти похожие модули внешне безобидными.

« bitcoin-main-lib и bitcoin-lib-js во время установки запускают скрипт postinstall.cjs, который устанавливает bip40 — пакет, содержащий вредоносную полезную нагрузку», — заявили исследователи Zscaler ThreatLabz Сатьям Сингх и Лакхан Парашар. «Эта финальная полезная нагрузка, названная ThreatLabz NodeCordRAT, представляет собой троян удаленного доступа (RAT) с возможностями кражи данных».

NodeCordRAT способен крастьdentданные Google Chrome

Аналитики Zscaler ThreatLabzdentэту тройку в ноябре во время сканирования реестра npm на предмет подозрительных пакетов и странных шаблонов загрузки. NodeCordRAT представляет собой новое семейство вредоносных программ, использующих серверы Discord для связи в целях управления и контроля (C2).

NodeCordRAT был создан для кражи данных для входа в Google Chrome, API-кодов, хранящихся в файлах .env, и данных кошелька MetaMask, таких как закрытые ключи и сид-фразы. Человек, разместивший все три вредоносных пакета, использовал адрес электронной почты [email protected].

Цепочка атак начинается, когда разработчики, сами того не подозревая, устанавливают bitcoin-main-lib или bitcoin-lib-js из npm. Затемdentопределяет путь к пакету bip40 и запускает его в отсоединенном режиме с помощью PM2.

Вредоносная программа генерирует уникальныйdentдля скомпрометированных машин, используя формат platform-uuid, например win32-c5a3f1b4. Она делает это путемtracсистемных UUID с помощью таких команд, как wmic csproduct get UUID в Windows или чтения файла /etc/machine-id в системах Linux.

Вредоносные пакеты узлов, ставшие причиной кражи криптовалюты

Компания Trust Wallet заявила, что кража почти 8,5 миллионов долларов связана с атакой на цепочку поставок экосистемы npm, совершенной группировкой «Sha1-Hulud NPM». Пострадало более 2500 кошельков.

Хакеры использовали взломанный npm в качестве троянов типа NodeCordRAT и вредоносного ПО для цепочки поставок. Он был встроен в клиентский код, который похищал деньги у клиентов, когда те получали доступ к своим кошелькам.

Другие примеры 2025 года, которые попадают в две категории и напоминают угрозу в стиле NodeCordRAT, включают в себя уязвимость Force Bridge, которая произошла в период с мая по июнь 2025 года. Злоумышленники украли либо программное обеспечение, либо закрытые ключи, которые узлы-валидаторы использовали для авторизации межсетевых выводов средств. Это превратило узлы в злоумышленников, способных одобрять мошеннические транзакции.

В результате этой утечки были украдены активы на сумму около 3,6 миллиона долларов, включая ETH, USDC, USDT и другие токены. Это также вынудило мост приостановить работу и провести аудит.

В сентябре ShibBridge, и злоумышленники смогли на короткое время захватить контроль над большей частью мощности валидаторов. Как сообщило издание Cryptopolitan, это позволило им выступать в роли недобросовестных узлов-валидаторов, подтверждать незаконные выводы средств и присвоить около 2,8 миллиона долларов в SHIB, ETH и BONE.