Hack Alerta

Três pacotes NPM maliciosos entregam RAT que rouba logins de desenvolvedores

Por Redação Hack Alerta Publicado em 08/01/2026 05:04 Riscos e Ameaças Tempo de leitura: 2 min

Três pacotes npm (bitcoin-main-lib, bitcoin-lib-js, bip40) entregam o RAT NodeCordRAT via postinstall, usando Discord como C2 para roubar logins de navegador, .env e dados MetaMask. Descoberta por Zscaler ThreatLabz em novembro de 2025.

Resumo

Pesquisadores da Zscaler ThreatLabz identificaram três pacotes maliciosos publicados no registro npm — bitcoin-main-lib, bitcoin-lib-js e bip40 — que, quando instalados, podem entregar um trojan de acesso remoto (NodeCordRAT) projetado para exfiltrar logins de navegador, tokens e carteiras de criptomoeda.

Modo de operação

Os pacotes foram publicados como similares a módulos legítimos ligados ao bitcoinjs para induzir confiança. O fluxo técnico documentado inclui um script postinstall que, durante a instalação, resolve e executa bip40, o qual atua como instalador do payload final.

O payload, denominado NodeCordRAT, é escrito em Node.js e usa o Discord como canal de comando e controle (C2). Em máquinas comprometidas, o malware procura por bancos de dados do Chrome com credenciais, arquivos .env que podem conter chaves de API e dados do MetaMask para carteiras de extensão.

Persistência e alcance

Os scripts iniciam o processo malicioso e podem utilizar PM2 para manter o agente em execução após a saída do processo npm, embora a análise indique que, por padrão, a persistência total após reinício não seja garantida sem configurações adicionais. A campanha foi identificada por meio de padrões de downloads e vínculo entre contas de autor.

Impacto para cadeias de suprimento de desenvolvimento

Ao comprometer estações de trabalho de desenvolvedores, o atacante ganha acesso a segredos, chaves de acesso a serviços cloud e código‑fonte, o que transforma um incidente localizado em um problema sério de supply chain. A técnica de typosquatting (nomes semelhantes a bibliotecas legítimas) foi usada para aumentar chances de instalação acidental.

Mitigações

  • Verificar a proveniência de pacotes e usar verificação de integridade (lockfiles, digests);
  • Revisar scripts de lifecycle (postinstall) antes de aceitar dependências externas;
  • Manter segredos fora de estações de desenvolvimento (usar cofres/secret managers) e restringir permissões de chaves de produção;
  • Remover dependências suspeitas e escanear estações para indicadores de NodeCordRAT caso haja suspeita de instalação.

Fonte das descobertas

A descoberta foi divulgada pela Zscaler ThreatLabz em varreduras conduzidas em novembro de 2025 e reportada em artigos de segurança; as amostras e os detalhes de IOC foram analisados na investigação técnica citada.

Baseado em publicação original de Cyber Security News
Tags: #npm #nodecordrat #typosquatting #supply-chain #desenvolvedores #credenciais #zscaler #malware #discord
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar