网络安全研究人员发现了一些伪造的 Bitcoin npm 包，这些包会窃取加密钱包和种子。 

Zscaler ThreatLabz 的研究人员发现了三个恶意 Bitcoin npm 包，它们旨在植入名为 NodeCordRAT 的恶意软件。报道称，在从 npm 注册表中移除之前，这些包的下载量均超过 3400 次。.

这些软件包，包括 bitcoin-main-lib、 bitcoin-lib-js 和 bip40，分别累计下载量达到 2300 次、193 次和 970 次。攻击者通过复制真实 Bitcoin 组件的名称和详细信息，使这些仿冒模块乍一看似乎无害。.

“ bitcoin-main-lib 和 bitcoin-lib-js 软件包在安装过程中会执行 postinstall.cjs 脚本，该脚本会安装 bip40 软件包，而 bip40 正是包含恶意载荷的软件包。ThreatLabz Zscaler ThreatLabz 的研究人员 Satyam Singh 和 Lakhan Parashar 表示： 将最终的恶意载荷命名为 NodeCordRAT，它是一种具有数据窃取功能的远程访问木马 (RAT)。”

NodeCordRAT 能够窃取 Google Chromedent

Zscaler ThreatLabz 分析师在 11 月扫描 npm 注册表以查找可疑软件包和异常下载模式时dent了这三个恶意软件。NodeCordRAT 代表了一种新型恶意软件家族，它利用 Discord 服务器进行命令与控制 (C2) 通信。.

NodeCordRAT旨在窃取谷歌Chrome浏览器的登录信息、保存在.env文件中的API代码以及MetaMask钱包数据，例如私钥和助记词。发布这三个恶意软件的人使用了邮箱地址 [email protected]。

攻击链始于开发者在不知情的情况下通过 npm 安装了 bitcoin-main-lib 或 bitcoin-lib-js。然后，它会dentbip40 包的路径，并使用 PM2 以分离模式启动它。.

该恶意软件使用平台-uuid 格式为受感染的计算机生成唯一的dent，例如 win32-c5a3f1b4。它通过在 Windows 上使用 wmic csproduct get UUID 等命令或在 Linux 系统上读取 /etc/machine-id 来trac系统 UUID 来实现这一点。.

导致加密货币盗窃的恶意节点软件包

Trust Wallet表示，近850万美元的损失与“Sha1-Hulud NPM”对npm生态系统供应链的攻击有关。超过2500个钱包受到影响。.

黑客利用被篡改的 npm 库，将其用作类似 NodeCordRAT 的木马程序和供应链恶意软件。该恶意软件被植入客户端代码，在用户访问钱包时窃取资金。.

其他一些与NodeCordRAT威胁类似的2025年案例包括Force Bridge漏洞利用事件，该事件发生在2025年5月至6月之间。攻击者窃取了验证节点用于授权跨链提现的软件或私钥。这使得节点变成了可以批准欺诈交易的恶意行为者。.

此次安全漏洞导致约360万美元的资产被盗，其中包括ETH、USDC、USDT和其他代币。此次漏洞还迫使该桥接服务停止运行并进行审计。.

9 月份， ShibArium Bridge 漏洞被利用，攻击者在短时间内控制了大部分验证节点的算力。据 Cryptopolitan 报道 ， Cryptopolitan使得攻击者能够充当恶意验证节点，批准非法提现，并窃取了价值约 280 万美元的 SHIB、ETH 和 BONE 代币。