Zscalerのセキュリティ研究者は、広く見られる暗号資産テーマを悪用する巧妙なキャンペーンを発見しました。公式npmリポジトリ内で3つの有害なライブラリが見つかり、これまで文書化されていなかったリモートアクセス トロイの木馬(RAT)であるNodeCordRATの媒介として機能していました。これらのパッケージは、ビットコイン関連プロジェクトに紐づく正規コンポーネントを装っており、「wenmoonx」という偽名を用いる人物によってアップロードされ、その後プラットフォームから削除されています。
悪意あるパッケージ—bitcoin-main-lib、bitcoin-lib-js、およびbip40—は、欺瞞的なインストール手順を用いていました。前者2つには、導入時に自動実行されるpostinstall.cjsスクリプトが含まれており、その後、コアとなる悪性ペイロードを内包するbip40を取得してインストールしていました。累計ダウンロード数は3,500件に迫っており、このキャンペーンが暗号資産エコシステム内の開発者およびユーザーを狙った重大な攻撃であることを示しています。
NodeCordRATは、Discordを主要なコマンド&コントロール(C2)基盤として利用することで、秘匿性の高い接続を実現します。侵入に成功すると、マルウェアは詳細なシステムテレメトリを流出させ、Windows、Linux、macOSを含む多様なOS上で一意のハードウェア識別子を生成します。その後、事前に定義されたDiscordサーバーへの暗号化リンクを確立し、指示を待機します。
NodeCordRATの機能群により、攻撃者は任意のコマンドを実行し、デスクトップのスクリーンショットを取得して送信し、機密ファイルをDiscordチャンネルへ直接アップロードできます。Discord APIと埋め込まれた認証トークンを悪用することで、攻撃者は侵害されたシステムを驚くほど容易に操ることが可能になります。
運用者が特に関心を寄せているのは、Google Chromeの認証情報、APIトークン、そしてMetaMaskなどの暗号資産ウォレットのシードフレーズです。これらのパッケージのアーキテクチャと命名は、bitcoinjsプロジェクトの正規ライブラリ—bitcoinjs-lib、bip32、bip38など—を精緻に模倣するよう設計されており、開発者がそれらを信頼できるユーティリティだと認識する可能性を高めていました。
専門家は、このキャンペーンが、特に収益性の高い暗号資産分野において、マルウェア配布のために公開リポジトリを武器化する傾向が強まっていることを浮き彫りにしていると強調しています。こうした侵害はますます洗練され、正規のソフトウェアソリューションに違和感なく紛れ込み、人気のコミュニケーションプラットフォームを悪用してデータ流出とシステム制御を実現しています。
翻訳元: https://meterpreter.org/the-discord-trojan-new-nodecordrat-hijacks-bitcoin-themed-npm-packages/
