Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Tools zur Remoteverwaltung NodeCordRAT Malware

NodeCordRAT Malware

Von Mezo in Tools zur Remoteverwaltung
Übersetzen Sie in:

Cybersicherheitsanalysten haben drei bösartige npm-Pakete entdeckt, die dazu dienten, einen zuvor undokumentierten Remote-Access-Trojaner (RAT) zu verbreiten, der nun unter dem Namen NodeCordRAT geführt wird. Diese Pakete wurden im November 2025 aus dem npm-Repository entfernt und alle von einem Konto mit dem Namen „wenmoonx“ veröffentlicht.

Identifizierte schädliche Pakete:

  • bitcoin-main-lib (≈2.300 Downloads)
  • bitcoin-lib-js (≈193 Downloads)
  • bip40 (≈970 Downloads)

Die Angreifer wählten absichtlich Namen, die legitimen Repositories aus dem bekannten bitcoinjs-Ökosystem stark ähneln, offenbar ein Versuch, Entwickler in die Irre zu führen und die Wahrscheinlichkeit einer versehentlichen Installation zu erhöhen.

Infektionskette und Nutzlastübertragung

Die Sicherheitslücke entsteht durch die Installation von bitcoin-main-lib oder bitcoin-lib-js. Beide Pakete enthalten eine präparierte package.json-Datei, die ein postinstall.cjs-Skript definiert. Dieses Skript installiert im Hintergrund bip40, das den eigentlichen Schadcode enthält.

Nach der Ausführung liefert bip40 die endgültige Nutzlast: NodeCordRAT, einen voll ausgestatteten Remote-Access-Trojaner mit integrierten Datenerfassungsfunktionen.

Was ist NodeCordRAT?

NodeCordRAT verdankt seinen Namen zwei zentralen Designmerkmalen: npm als Verbreitungsmechanismus und Discord als Command-and-Control-Plattform (C2). Nach der Installation erstellt die Malware einen Fingerabdruck des infizierten Systems, um eine eindeutige Kennung für Windows-, Linux- und macOS-Systeme zu generieren.

Der Trojaner ist in der Lage, sensible Informationen zu sammeln, darunter:

  • Google Chrome-Anmeldeinformationen
  • API-Tokens
  • Geheimnisse von Kryptowährungs-Wallets, wie MetaMask-Daten und Seed-Phrasen

Alle gesammelten Daten werden über die Infrastruktur von Discord an den Angreifer zurückgeleitet.

Discord-basierte Kommando- und Kontrollsysteme

Anstatt auf herkömmliche C2-Server zurückzugreifen, nutzt NodeCordRAT einen fest codierten Discord-Server und ein Token, um einen verdeckten Kommunikationskanal herzustellen. Über diesen Kanal können die Bediener Befehle erteilen und gestohlene Daten empfangen.

Unterstützte Angreiferbefehle umfassen:

  • !run – Führt beliebige Shell-Befehle über die exec-Funktion von Node.js aus.
  • !screenshot – Erstellt einen vollständigen Desktop-Screenshot und exportiert ihn als PNG-Datei.
  • !sendfile – Eine bestimmte lokale Datei in den Discord-Kanal hochladen

Datenexfiltration über die Discord-API

Die Datenexfiltration erfolgt vollständig über die REST-API von Discord. Mithilfe des eingebetteten Tokens postet die Malware gestohlene Inhalte direkt in einem privaten Kanal und hängt Dateien über den Endpunkt an:

/channels/{id}/messages

Dieser Ansatz ermöglicht es Angreifern, bösartigen Datenverkehr mit legitimen Discord-Aktivitäten zu vermischen, was die Erkennung in Umgebungen, in denen Discord erlaubt ist, erschwert.

Sicherheitsimplikationen

Diese Kampagne verdeutlicht den anhaltenden Missbrauch von Open-Source-Ökosystemen und vertrauenswürdigen Kollaborationsplattformen. Indem die Angreifer sich als bekannte Bitcoin-Bibliotheken ausgaben und Installationsskripte als Waffe einsetzten, schufen sie einen einfachen Infektionsweg, der die Bereitstellung einer plattformübergreifenden RAT ermöglichte, die auf den Diebstahl von Zugangsdaten und die Fernsteuerung abzielte.

Für Entwicklerteams und Sicherheitsexperten unterstreicht der Vorfall die Wichtigkeit einer strengen Überprüfung der Abhängigkeiten, der Überwachung von Installationsskripten und der Anomalieerkennung für ausgehenden Datenverkehr zu Verbraucherplattformen wie Discord.

Im Trend

Am häufigsten gesehen

Wird geladen...