NodeCordRAT マルウェア
サイバーセキュリティアナリストは、これまで文書化されておらず、現在NodeCordRATとして追跡されているリモートアクセス型トロイの木馬(RAT)を拡散するために設計された3つの悪意のあるnpmパッケージを発見しました。これらのパッケージは2025年11月にnpmレジストリから削除され、すべて「wenmoonx」という名前で活動するアカウントによって公開されていました。
特定された悪意のあるパッケージ:
- bitcoin-main-lib(約2,300ダウンロード)
- bitcoin-lib-js (≈193 ダウンロード)
- bip40 (≈970 ダウンロード)
攻撃者は、よく知られている bitcoinjs エコシステムの正規のリポジトリに酷似した名前を意図的に選択しました。これは、開発者を誤解させ、誤ってインストールされる可能性を高めようとする試みであると思われます。
目次
感染チェーンとペイロードの配信
侵害は、bitcoin-main-lib または bitcoin-lib-js のいずれかがインストールされた時点で発生します。どちらのパッケージにも、postinstall.cjs スクリプトを定義する、細工された package.json ファイルが含まれています。このスクリプトは、悪意のあるコードそのものをホストする bip40 をサイレントに読み込みます。
実行されると、bip40 は最終的なペイロードを展開します。NodeCordRAT は、データ収集機能が組み込まれたフル機能のリモート アクセス型トロイの木馬です。
NodeCordRAT とは何ですか?
NodeCordRATの名前は、その2つのコア設計に由来しています。拡散メカニズムとしてのnpmと、コマンドアンドコントロール(C2)プラットフォームとしてのDiscordです。インストール後、マルウェアは侵害されたシステムのフィンガープリントを作成し、Windows、Linux、macOSホスト間で一意の識別子を生成します。
このトロイの木馬は、次のような機密情報を収集する可能性があります。
- Google Chrome の認証情報
- APIトークン
- MetaMaskデータやシードフレーズなどの暗号通貨ウォレットの秘密
収集されたすべてのデータは、Discord のインフラストラクチャを通じて攻撃者に送り返されます。
Discordベースのコマンドとコントロール
NodeCordRATは、従来のC2サーバーに頼る代わりに、ハードコードされたDiscordサーバーとトークンを使用して秘密の通信チャネルを確立します。このチャネルを通じて、オペレーターはコマンドを発行し、盗んだデータを受信できます。
サポートされている攻撃者のコマンドは次のとおりです。
- !run – Node.jsのexec関数を介して任意のシェルコマンドを実行する
- !screenshot – デスクトップ全体のスクリーンショットをキャプチャし、PNGファイルとして抽出する
- !sendfile – 指定されたローカルファイルを Discord チャンネルにアップロードします
DiscordのAPI経由のデータ流出
情報流出はDiscordのREST APIを通じて完全に処理されます。埋め込まれたトークンを使用して、マルウェアは盗んだコンテンツをプライベートチャンネルに直接投稿し、エンドポイント経由でファイルを添付します。
/チャンネル/{id}/メッセージ
このアプローチにより、脅威の攻撃者は悪意のあるトラフィックを正当な Discord アクティビティと混合することができ、Discord が許可されている環境での検出がより困難になります。
セキュリティへの影響
このキャンペーンは、オープンソースのエコシステムと信頼できるコラボレーションプラットフォームの継続的な悪用を浮き彫りにしています。攻撃者は、よく知られたビットコイン関連のライブラリを装い、インストール後のスクリプトを武器化することで、認証情報の窃取とリモートコントロールを目的としたクロスプラットフォームRATを配信できる、低摩擦の感染経路を構築しました。
開発チームとセキュリティ専門家にとって、このインシデントは、厳格な依存関係の検証、インストール時のスクリプトの監視、Discord などの消費者向けプラットフォームへの送信トラフィックの異常検出の重要性を再認識させるものです。
