恶意比特币 npm 包在下架前传播 NodeCordRAT 恶意软件

来源：CryptoNewsNet 原文标题：恶意比特币npm包在下架前传播NodeCordRAT恶意软件 原文链接： Zscaler ThreatLabz的研究人员发现了三个恶意的比特币npm包，旨在植入名为NodeCordRAT的恶意软件。报道称，它们在从npm注册表下架前，下载量都超过了3400次。

这些包包括bitcoin-main-lib、bitcoin-lib-js和bip40，累计下载量分别为2300、193和970次。通过复制真实比特币组件的名称和细节，攻击者让这些类似模块在一眼之下看起来无害。

“bitcoin-main-lib和bitcoin-lib-js包在安装过程中会执行postinstall.cjs脚本，安装包含恶意载荷的bip40包，” Zscaler ThreatLabz的研究员Satyam Singh和Lakhan Parashar表示，“这个最终载荷由ThreatLabz命名为NodeCordRAT，是一种具有窃取敏感数据能力的远程访问木马(RAT)。”

NodeCordRAT能够窃取Google Chrome凭据、存放在.env文件中的API代码，以及MetaMask钱包数据，如私钥和助记词。

Zscaler ThreatLabz的分析师在2023年11月扫描npm注册表时，发现了这三款恶意包的踪迹，发现它们具有异常的下载模式。NodeCordRAT代表一种利用Discord服务器进行指挥控制（C2）通信的新型恶意软件家族。

发布这三个恶意包的用户使用的电子邮箱地址是supertalented730@gmail.com。

攻击链

攻击链始于开发者在不知情的情况下，从npm安装bitcoin-main-lib或bitcoin-lib-js。然后它会识别bip40包的路径，并使用PM2以分离模式启动它。

恶意软件会为受感染的机器生成一个唯一标识符，格式为platform-uuid，例如win32-c5a3f1b4。它通过执行诸如wmic csproduct get UUID（在Windows上）或读取/etc/machine-id（在Linux系统上）等命令提取系统UUID来实现。

历史背景：加密货币中的恶意节点包

Trust Wallet报告称，近850万美元的盗窃与“Sha1-Hulud NPM”对npm生态系统供应链的攻击有关。超过2500个钱包受到影响。

黑客利用被破坏的npm包作为NodeCordRAT风格的木马和供应链恶意软件，将它们嵌入客户端代码中，在用户访问钱包时窃取资金。

2025年类似NodeCordRAT威胁的其他例子包括2025年5月至6月发生的Force Bridge漏洞。攻击者窃取了验证节点用以授权跨链提款的软件或私钥。这使得节点变成了恶意行为者，能够批准虚假交易。

此次漏洞导致约360万美元的资产被盗，包括ETH、USDC、USDT和其他代币。也迫使桥停止运营并进行审计。

9月，Shibarium桥漏洞爆发，攻击者短时间内控制了大部分验证节点的权力。这使他们能够作为恶意验证节点，签署非法提款，并盗取了约280万美元的SHIB、ETH和BONE代币。