Bitcoin, npm e la connessione con Discord: dentro l’attacco alla supply chain di NodeCordRAT

Quando installi un pacchetto software, ti fidi che sia ciò che dichiara di essere. Ma se quel pacchetto fosse un cavallo di Troia, progettato per dirottare silenziosamente i tuoi dati e spedirli dritti negli angoli più oscuri del web? In una recente e inquietante scoperta, i ricercatori di cybersecurity di Zscaler ThreatLabz hanno individuato un trio di pacchetti npm che si spacciavano per strumenti di sviluppo Bitcoin - ognuno dei quali nascondeva un nuovo malware furtivo che hanno battezzato NodeCordRAT.

L’anatomia di un inganno

L’attacco è iniziato con un utente chiamato “wenmoonx” che ha caricato tre pacchetti npm: bitcoin-main-lib, bitcoin-lib-js e bip40. I loro nomi richiamavano repository affidabili del progetto bitcoinjs, un classico caso di “typosquatting” pensato per ingannare anche gli sviluppatori più esperti. Ma la vera stangata era nascosta più in profondità: al momento dell’installazione, questi pacchetti eseguivano silenziosamente uno script postinstall.cjs, che a sua volta scaricava ed eseguiva il vero payload malevolo dal pacchetto bip40.

Soprannominato NodeCordRAT dai ricercatori, il malware è un trojan di accesso remoto (RAT) costruito per rubare dati e cedere il controllo delle macchine infette. Esegue il fingerprint del sistema della vittima - Windows, macOS o Linux - e stabilisce un canale occulto con un server Discord hardcoded. Attraverso questo canale, l’attaccante può impartire comandi: eseguire comandi di shell, fare screenshot o esfiltrare file, il tutto usando la stessa API di Discord come mezzo di trasporto.

Discord: il complice improbabile

L’uso di Discord come centro di comando da parte di NodeCordRAT è al tempo stesso ingegnoso e allarmante. Sfruttando la REST API di Discord e un token di autenticazione hardcoded, il malware invia i file rubati come allegati ai messaggi in un canale privato, nascondendosi in piena vista tra il traffico legittimo. Questo approccio rende più difficile il rilevamento per i team di sicurezza, che potrebbero non aspettarsi un abuso simile di una piattaforma di chat così popolare.

Implicazioni più ampie

La campagna NodeCordRAT è un monito netto: la supply chain del software è forte solo quanto il suo anello più debole. Sviluppatori e utenti crypto sono bersagli appetibili, e gli attaccanti stanno sempre più mescolando ingegneria sociale e sotterfugi tecnici. Mentre npm e altri registry corrono per stare al passo, vigilanza e scetticismo non sono mai stati così essenziali.

Conclusione

L’incidente NodeCordRAT mette in luce un nuovo e pericoloso vettore per i furti digitali - uno che sfrutta la fiducia, il know-how tecnico e le stesse piattaforme che alimentano l’innovazione open source. Man mano che la linea tra strumenti legittimi e codice trasformato in arma si fa più sfumata, l’onere ricade su tutti nell’ecosistema: ricontrollare, verificare e, soprattutto, non dare mai per scontata la sicurezza.

WIKICROOK

• Trojan di accesso remoto (RAT): Un Trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
• npm: npm è una libreria online centrale in cui gli sviluppatori condividono, aggiornano e gestiscono pacchetti di codice JavaScript per creare software in modo efficiente e sicuro.
• Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
• Typosquatting: Il typosquatting è quando gli attaccanti usano nomi simili a quelli di siti o software fidati per ingannare gli utenti e indurli a visitare siti falsi o scaricare malware.
• Seed phrase: Una seed phrase è un insieme di parole che funge da chiave maestra per un wallet crypto. Chiunque la possieda può accedere e controllare i tuoi fondi.