网络安全研究人员发现了三个恶意的npm软件包，这些软件包被设计用来传播一个此前未被记录的恶意软件NodeCordRAT。

这些软件包的名称如下所列，截至2025年11月已全部被下架。它们由一个名为"wenmoonx"的用户上传：

bitcoin-main-lib（2,300次下载）

bitcoin-lib-js（193次下载）

bip40（970次下载）

Zscaler ThreatLabz研究员Satyam Singh和Lakhan Parashar表示："bitcoin-main-lib和bitcoin-lib-js软件包在安装过程中会执行一个postinstall.cjs脚本，该脚本会安装包含恶意载荷的bip40软件包。这个最终载荷被ThreatLabz命名为NodeCordRAT，它是一个具有数据窃取能力的远程访问木马程序。"

NodeCordRAT的名称来源于使用npm作为传播载体和使用Discord服务器进行命令控制通信。该恶意软件能够窃取Google Chrome凭据、API令牌，以及来自MetaMask等加密货币钱包的助记词。

据这家网络安全公司称，该攻击活动背后的威胁行为者被认为是以合法bitcoinjs项目中的真实存储库来命名这些软件包的，如bitcoinjs-lib、bip32、bip38和bip38。

"bitcoin-main-lib"和"bitcoin-lib-js"都包含一个"package.json"文件，该文件以"postinstall.cjs"作为安装后脚本，导致执行包含NodeCordRAT载荷的"bip40"。

除了对受感染主机进行指纹识别以在Windows、Linux和macOS系统中生成唯一标识符外，该恶意软件还利用硬编码的Discord服务器开启隐蔽通信通道来接收指令并执行：

!run，使用Node.js的exec函数执行任意shell命令

!screenshot，截取完整桌面屏幕截图并将PNG文件外泄到Discord频道

!sendfile，将指定文件上传到Discord频道

Zscaler表示："这些数据通过Discord的API使用硬编码令牌进行外泄，并发送到私人频道。被窃取的文件通过Discord的REST端点/channels/{id}/messages作为消息附件上传。"

Q&A

Q1：NodeCordRAT是什么恶意软件？

A：NodeCordRAT是研究人员新发现的远程访问木马程序，具有数据窃取能力。它通过npm软件包传播，使用Discord服务器进行命令控制通信，能够窃取Chrome凭据、API令牌和加密货币钱包助记词。

Q2：这些恶意npm软件包是如何工作的？

A：bitcoin-main-lib和bitcoin-lib-js软件包在安装时会执行postinstall.cjs脚本，该脚本会自动安装包含恶意载荷的bip40软件包，从而在用户系统中植入NodeCordRAT木马程序。

Q3：NodeCordRAT具备哪些攻击功能？

A：NodeCordRAT可以执行任意shell命令、截取桌面屏幕截图、上传指定文件到Discord频道，还能窃取Google Chrome凭据、API令牌和MetaMask等加密货币钱包的助记词信息。