Capturas de pantalla, frases semilla y toma del terminal: hackers ahora roban a usuarios vía npm y Discord
Un solo paso en falso y todos tus ahorros acabarán en manos ajenas.
Especialistas de Zscaler detectaron una nueva campaña que utiliza temas populares en el ámbito de las criptomonedas. En el repositorio oficial de npm se encontraron tres bibliotecas maliciosas que distribuían un programa de acceso remoto hasta entonces desconocido, denominado NodeCordRAT. Estas bibliotecas estaban disfrazadas de componentes supuestamente relacionados con proyectos de Bitcoin y fueron subidas por un usuario con el seudónimo «wenmoonx». Todas ellas ya han sido eliminadas de la plataforma.
Los paquetes maliciosos recibieron los nombres «bitcoin-main-lib», «bitcoin-lib-js» y «bip40». Los dos primeros contenían el script postinstall.cjs, que se ejecuta automáticamente tras la instalación. Ese script descargaba e instalaba «bip40», la biblioteca que contenía el código malicioso principal. El número total de descargas de los tres paquetes alcanzó casi 3500, lo que indica un posible ataque de amplio alcance contra usuarios que trabajan con herramientas para criptomonedas.
NodeCordRAT se distribuía a través de npm y usaba Discord como canal de comunicación con el servidor de comando. Tras la instalación, el malware mostraba información sobre el dispositivo de la víctima, creando un identificador único, independientemente del sistema operativo — ya fuera Windows, Linux o macOS. A continuación se establecía una conexión oculta con un servidor predeterminado en Discord, a través del cual el malware recibía órdenes.
La funcionalidad de NodeCordRAT permite al atacante ejecutar comandos arbitrarios en la línea de comandos, hacer capturas de pantalla del escritorio y enviarlas, así como subir archivos indicados directamente a un canal de Discord. Todo ello ocurre utilizando la API de Discord y un token integrado, lo que facilita al atacante el control sobre los sistemas infectados.
Entre los datos de mayor interés para el operador del programa malicioso están las credenciales del navegador Google Chrome, tokens de API y las frases semilla de billeteras de criptomonedas como MetaMask. Se señala que la estructura y los nombres de los paquetes se escogieron para recordar a bibliotecas legítimas del proyecto bitcoinjs, incluyendo «bitcoinjs-lib», «bip32» y «bip38». Esto aumentaba las probabilidades de que los desarrolladores percibieran el software malicioso como una herramienta fiable.
Los especialistas subrayan que la campaña demuestra un interés creciente por usar repositorios públicos como canal de distribución de herramientas maliciosas, especialmente en el contexto de la temática criptomonetaria. Ese tipo de ataques se vuelve cada vez más sofisticado, disfrazándose de soluciones legítimas y empleando plataformas de comunicación populares para recopilar y transmitir datos.
Las huellas digitales son tu debilidad, y los hackers lo saben