Bitcoin, npm et la connexion Discord : à l’intérieur de l’attaque de la chaîne d’approvisionnement NodeCordRAT

Lorsque vous installez un paquet logiciel, vous lui faites confiance pour être ce qu’il prétend être. Mais que se passe-t-il si ce paquet est un cheval de Troie, conçu pour détourner silencieusement vos données et les envoyer directement dans les recoins obscurs du web ? Dans une découverte glaçante récente, les chercheurs en cybersécurité de Zscaler ThreatLabz ont mis au jour un trio de paquets npm se faisant passer pour des outils de développement Bitcoin - chacun dissimulant un nouveau malware furtif qu’ils ont baptisé NodeCordRAT.

Anatomie d’une supercherie

L’attaque a commencé lorsqu’un utilisateur nommé “wenmoonx” a téléchargé trois paquets npm : bitcoin-main-lib, bitcoin-lib-js et bip40. Leurs noms rappelaient ceux de dépôts réputés du projet bitcoinjs, un cas classique de “typosquatting” destiné à tromper même les développeurs expérimentés. Mais le véritable piège était plus profond : à l’installation, ces paquets exécutaient silencieusement un script postinstall.cjs, qui récupérait et lançait ensuite la charge utile malveillante depuis le paquet bip40.

Baptisé NodeCordRAT par les chercheurs, ce malware est un cheval de Troie d’accès à distance (RAT) conçu pour voler des données et prendre le contrôle des machines infectées. Il dresse le profil du système de la victime - Windows, macOS ou Linux - et établit un canal secret avec un serveur Discord codé en dur. Via ce canal, l’attaquant peut envoyer des commandes : exécuter des commandes shell, prendre des captures d’écran ou exfiltrer des fichiers, le tout en utilisant l’API Discord comme vecteur de transport.

Discord : un complice inattendu

L’utilisation de Discord comme centre de commande par NodeCordRAT est à la fois ingénieuse et inquiétante. En exploitant l’API REST de Discord et un jeton d’authentification codé en dur, le malware envoie les fichiers volés en tant que pièces jointes à un canal privé, se dissimulant à la vue de tous parmi le trafic légitime. Cette méthode complique la détection pour les équipes de sécurité, qui ne s’attendent pas forcément à un tel détournement d’une plateforme de messagerie populaire.

Implications plus larges

La campagne NodeCordRAT rappelle brutalement que la chaîne d’approvisionnement logicielle n’est aussi solide que son maillon le plus faible. Développeurs et utilisateurs de crypto sont des cibles de choix, et les attaquants mêlent de plus en plus ingénierie sociale et subterfuge technique. Alors que npm et d’autres registres tentent de rattraper leur retard, la vigilance et le scepticisme n’ont jamais été aussi essentiels.

Conclusion

L’incident NodeCordRAT révèle un nouveau vecteur dangereux pour les cambriolages numériques - un vecteur qui exploite la confiance, l’expertise technique et les plateformes mêmes qui alimentent l’innovation open source. À mesure que la frontière s’estompe entre outils légitimes et code malveillant, la responsabilité incombe à chacun dans l’écosystème de vérifier, revérifier et, surtout, de ne jamais présumer la sécurité par défaut.

WIKICROOK

• Cheval de Troie d’accès à distance (RAT) : Un cheval de Troie d’accès à distance (RAT) est un logiciel malveillant qui permet à des attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
• npm : npm est une bibliothèque en ligne centrale où les développeurs partagent, mettent à jour et gèrent des paquets de code JavaScript pour construire des logiciels de façon efficace et sécurisée.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
• Typosquatting : Le typosquatting consiste à utiliser des noms ressemblant à ceux de sites ou logiciels de confiance pour tromper les utilisateurs et les inciter à visiter de faux sites ou à télécharger des malwares.
• Phrase de récupération : Une phrase de récupération est une suite de mots qui sert de clé maîtresse à un portefeuille crypto. Quiconque la possède peut accéder à vos fonds et les contrôler.