Novo Malware NodeCordRAT: Um Perigo para Usuários de Bitcoin

Os pesquisadores de segurança da empresa Zscaler descobriram três pacotes npm maliciosos que entregam um malware de acesso remoto chamado NodeCordRAT. Esses pacotes imitam bibliotecas ligadas à criptomoeda Bitcoin, ameaçando usuários que trabalham com a moeda digital.

Os pacotes em questão são o bitcoin-main-lib, bitcoin-lib-js e bip40, que foram tirados do ar em novembro de 2025. Durante a instalação, os dois primeiros executam um script postinstall.cjs, instalando o bip40, que contém o payload malicioso.

O que faz o NodeCordRAT?

O NodeCordRAT é um trojan de acesso remoto (RAT) capaz de roubar dados, além de usar npm como um vetor de propagação e servidores do Discord para comunicações de comando e controle (C2). Os itens roubados incluem credenciais do Chrome, tokens de API e frases seed de carteiras de criptomoeda como a MetaMask.

Ao invadir a máquina da vítima, o malware faz um fingerprinting para gerar um identificador único para cada sistema operacional. Um servidor do Discord, então, recebe instruções e as executa na máquina, incluindo comandos shell, capturas de tela e envio de arquivos.

Prevenção e Proteção

Embora os pacotes maliciosos tenham sido tirados do ar, é importante que os desenvolvedores e usuários de Bitcoin tenham atenção com os pacotes baixados, checando comentários e a popularidade dos arquivos com antecedência.

• Verifique a autenticidade dos pacotes antes de instalar.
• Leia os comentários e avaliações de outros usuários.
• Verifique a popularidade do pacote e a frequência de atualizações.

Além disso, é fundamental manter o sistema operacional e os aplicativos atualizados, além de usar uma solução de segurança confiável para proteger contra malwares e outras ameaças.

Este conteúdo pode conter links de compra.

Fonte: link