Logiciel malveillant NodeCordRAT
Des analystes en cybersécurité ont découvert trois paquets npm malveillants conçus pour distribuer un cheval de Troie d'accès à distance (RAT) auparavant non documenté, désormais identifié sous le nom de NodeCordRAT. Ces paquets ont été retirés du registre npm en novembre 2025 et ont tous été publiés par un compte opérant sous le nom « wenmoonx ».
Paquets malveillants identifiés :
- bitcoin-main-lib (≈2 300 téléchargements)
- bitcoin-lib-js (≈193 téléchargements)
- bip40 (≈970 téléchargements)
Les attaquants ont délibérément choisi des noms qui ressemblent fortement à des dépôts légitimes de l'écosystème bien connu bitcoinjs, une tentative apparente d'induire les développeurs en erreur et d'augmenter la probabilité d'une installation accidentelle.
Table des matières
Chaîne d’infection et livraison de la charge utile
La compromission débute lors de l'installation de bitcoin-main-lib ou de bitcoin-lib-js. Ces deux paquets contiennent un fichier package.json spécialement conçu qui définit un script postinstall.cjs. Ce script installe silencieusement bip40, qui héberge le code malveillant.
Une fois exécuté, bip40 déploie la charge utile finale : NodeCordRAT, un cheval de Troie d’accès à distance complet doté de fonctions intégrées de collecte de données.
Qu’est-ce que NodeCordRAT ?
NodeCordRAT tire son nom de ses deux principaux choix de conception : npm comme mécanisme de propagation et Discord comme plateforme de commande et de contrôle (C2). Après son installation, le logiciel malveillant enregistre le système compromis afin de générer un identifiant unique utilisable sur les hôtes Windows, Linux et macOS.
Le cheval de Troie est capable de collecter des informations sensibles, notamment :
- Identifiants Google Chrome
- jetons API
- Les secrets des portefeuilles de cryptomonnaies, tels que les données MetaMask et les phrases de récupération, sont essentiels. Ils comprennent notamment les données et les phrases de récupération des portefeuilles MetaMask.
Toutes les données collectées sont renvoyées à l'attaquant via l'infrastructure de Discord.
Commande et contrôle basés sur Discord
Au lieu de s'appuyer sur des serveurs C2 traditionnels, NodeCordRAT utilise un serveur Discord et un jeton intégrés au code pour établir un canal de communication clandestin. Grâce à ce canal, les opérateurs peuvent émettre des ordres et recevoir des données volées.
Les commandes d'attaquant prises en charge incluent :
- !run – Exécute des commandes shell arbitraires via la fonction exec de Node.js
- !screenshot – Capturez une capture d'écran complète du bureau et exportez-la au format PNG.
- !sendfile – Téléverse un fichier local spécifié sur le canal Discord
Exfiltration de données via l’API de Discord
L'exfiltration s'effectue intégralement via l'API REST de Discord. À l'aide du jeton intégré, le logiciel malveillant publie le contenu volé directement sur un canal privé, en joignant les fichiers via le point de terminaison :
/channels/{id}/messages
Cette approche permet aux acteurs malveillants de mélanger le trafic malveillant avec l'activité légitime de Discord, ce qui rend la détection plus difficile dans les environnements où Discord est autorisé.
Implications en matière de sécurité
Cette campagne met en lumière la persistance des abus au sein des écosystèmes open source et des plateformes de collaboration de confiance. En se faisant passer pour des bibliothèques Bitcoin familières et en exploitant des scripts post-installation malveillants, les attaquants ont créé une méthode d'infection simple permettant de déployer un RAT multiplateforme axé sur le vol d'identifiants et le contrôle à distance.
Pour les équipes de développement et les professionnels de la sécurité, cet incident souligne l'importance d'une vérification rigoureuse des dépendances, d'une surveillance des scripts d'installation et d'une détection des anomalies pour le trafic sortant vers les plateformes grand public telles que Discord.
