NodeCordRAT Hidden in npm

Los investigadores de ciberseguridad tienen descubierto tres paquetes npm maliciosos diseñados para entregar un malware previamente indocumentado llamado Nodo de Cordrat .

Los nombres de los paquetes, todos los cuales se retiraron en noviembre de 2025, se enumeran a continuación. Los subió un usuario llamado «wenmoonx».

«Los paquetes bitcoin-main-lib y bitcoin-lib-js ejecutan un script postinstall.cjs durante la instalación, que instala bip40, el paquete que contiene la carga maliciosa», afirman Satyam Singh y Lakhan Parashar, investigadores de Zscaler ThreatLabZ. «Esta última carga útil, denominada NodeCordrat por ThreatLabZ, es un troyano de acceso remoto (RAT) con capacidad para robar datos».

NodeCordrat recibe su nombre del uso de npm como vector de propagación y servidores Discord para comunicaciones de comando y control (C2). El malware está equipado para robar las credenciales de Google Chrome, los tokens de API y las frases iniciales de monederos de criptomonedas como MetaMask.

Según la empresa de ciberseguridad, se considera que el actor de amenazas detrás de la campaña puso a los paquetes el nombre de repositorios reales que se encuentran dentro de los repositorios legítimos bitcoins proyecto, como bitcoinjs-lib, bip32, bip38 y bip38.

Tanto «bitcoin-main-lib» como «bitcoin-lib-js» incluyen un archivo «package.json» que incluye «postinstall.cjs» como script posterior a la instalación, lo que lleva a la ejecución de «bip40" que contiene la carga útil NodeCordrat.

El malware, además de tomar las huellas dactilares del host infectado para generar un identificador único en los sistemas Windows, Linux y macOS, aprovecha un servidor de Discord codificado para abrir un canal de comunicación encubierto para recibir instrucciones y ejecutarlas -

  • ! run, para ejecutar comandos de shell arbitrarios utilizando la función exec de Node.js
  • ! captura de pantalla, para tomar una captura de pantalla completa del escritorio y filtrar el archivo PNG al canal Discord
  • ! sendfile, para subir un archivo específico al canal de Discord

«Estos datos se filtran mediante la API de Discord con un token codificado y se envían a un canal privado», afirma Zscaler. «Los archivos robados se suben como archivos adjuntos a un mensaje a través del terminal REST de Discord, /channels/ {id} /messages».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.