حزم npm الخبيثة لبيتكوين تنتشر برمجية NodeCordRAT الخبيثة قبل الإيقاف

المصدر: CryptoNewsNet العنوان الأصلي: حزم نودبتات خبيثة على npm تنتشر برمجية NodeCordRAT قبل الإيقاف الرابط الأصلي: وجد باحثو Zscaler ThreatLabz ثلاثة حزم نودبتات خبيثة على npm مخصصة لزرع برمجية خبيثة باسم NodeCordRAT. وتفيد التقارير بأنها حصلت على أكثر من 3400 عملية تحميل قبل أن يتم إيقافها من سجل npm.

الحزم، التي تشمل bitcoin-main-lib و bitcoin-lib-js و bip40، جمعت 2300 و193 و970 عملية تحميل على التوالي. من خلال نسخ الأسماء والتفاصيل من مكونات بيتكوين الحقيقية، جعل المهاجم هذه الوحدات المشابهة تظهر غير ضارة للوهلة الأولى.

“تنفذ حزم bitcoin-main-lib و bitcoin-lib-js سكربت postinstall.cjs أثناء التثبيت، والذي يثبت حزمة bip40، التي تحتوي على الحمولة الخبيثة,” قال باحثو Zscaler ThreatLabz ساتيام سينغ ولاخان باراشار. “هذه الحمولة النهائية، التي أطلق عليها ThreatLabz اسم NodeCordRAT، هي تروجان وصول عن بعد (RAT) مع قدرات لسرقة البيانات الحساسة.”

يتم تجهيز NodeCordRAT لسرقة بيانات اعتماد جوجل كروم، ورموز API المخزنة في ملفات .env، وبيانات محفظة MetaMask مثل المفاتيح الخاصة وعبارات البذور.

حدد محللو Zscaler ThreatLabz الثلاثة في نوفمبر أثناء مسح سجل npm للبحث عن حزم مشبوهة وأنماط تحميل غريبة. يمثل NodeCordRAT عائلة برمجيات خبيثة جديدة تستغل خوادم Discord للتواصل بين الأوامر والسيطرة (C2).

الشخص الذي نشر جميع الحزم الثلاثة الخبيثة استخدم عنوان البريد الإلكتروني supertalented730@gmail.com.

سلسلة الهجوم

تبدأ سلسلة الهجوم عندما يقوم المطورون دون علم بتثبيت bitcoin-main-lib أو bitcoin-lib-js من npm. ثم يحدد مسار حزمة bip40 ويبدأها في وضع منفصل باستخدام PM2.

تولد البرمجية الخبيثة معرفًا فريدًا للأجهزة المخترقة باستخدام صيغة platform-uuid، مثل win32-c5a3f1b4. وتحقق ذلك عن طريق استخراج UUIDات النظام عبر أوامر مثل wmic csproduct get UUID على Windows أو قراءة /etc/machine-id على أنظمة Linux.

السياق التاريخي: حزم نود خبيثة في عالم العملات الرقمية

أبلغت Trust Wallet أن سرقة ما يقرب من 8.5 مليون دولار كانت مرتبطة بهجوم على سلسلة إمداد نظام npm من قبل “Sha1-Hulud NPM”. وتضرر أكثر من 2500 محفظة.

استخدم القراصنة حزم npm مخترقة كبرمجيات تروجان على نمط NodeCordRAT وبرمجيات خبيثة على سلسلة التوريد، ودمجوها في كود جانب العميل سرق أموالًا من العملاء عند وصولهم إلى محافظهم.

ومن الأمثلة الأخرى لعام 2025 التي تشبه تهديد نمط NodeCordRAT، استغلال جسر Force Bridge، الذي حدث بين مايو ويونيو 2025. سرق المهاجمون إما البرنامج أو المفاتيح الخاصة التي تستخدمها عقد المدققين للموافقة على عمليات السحب عبر السلاسل. مما حول العقد إلى جهات خبيثة يمكنها الموافقة على معاملات احتيالية.

أسفر هذا الاختراق عن سرقة أصول تقدر بـ 3.6 مليون دولار، بما في ذلك ETH و USDC و USDT وغيرها من الرموز. كما أجبر الجسر على إيقاف العمليات وإجراء تدقيقات.

وفي سبتمبر، حدث استغلال جسر Shibarium، وتمكن المهاجمون من السيطرة على معظم قوة المدققين لفترة قصيرة. سمح لهم ذلك بخدمة كعقد مدققين خبيثة، والموافقة على سحوبات غير قانونية، وسرقة حوالي 2.8 مليون دولار من رموز SHIB و ETH و BONE.