9 de enero de 2026

NodeCordRAT: malware en npm usa Discord como C2 y apunta a desarrolladores cripto

NodeCordRAT: malware en npm usa Discord como C2 y apunta a desarrolladores cripto

Investigadores de ciberseguridad identificaron NodeCordRAT, un nuevo RAT (Remote Access Trojan) distribuido a través de tres paquetes maliciosos de npm con temática de Bitcoin. Antes de ser eliminados en noviembre de 2025, los paquetes acumularon más de 3.400 descargas, exponiendo a desarrolladores y proyectos del ecosistema cripto.

Detalles técnicos del malware

NodeCordRAT se propaga mediante los siguientes paquetes en npm:

  • bitcoin-main-lib (≈2.300 descargas)

  • bitcoin-lib-js (≈193 descargas)

  • bip40 (≈970 descargas)

Los paquetes fueron subidos por el usuario “wenmoonx” e imitaban repositorios legítimos del proyecto bitcoinjs.

Cadena de infección

  • Los scripts postinstall.cjs en bitcoin-main-lib y bitcoin-lib-js instalan bip40.

  • bip40 despliega el payload principal, diseñado para:

    • Robar credenciales de Chrome

    • Exfiltrar tokens API

    • Sustraer frases semilla de MetaMask (MetaMask)

    • Leer secretos desde archivos .env

Comando y control (C2)

  • Genera un identificador único del host (Windows, Linux o macOS).

  • Usa un token hardcodeado de Discord como canal C2 en un canal privado de Discord.

  • Soporta comandos remotos como:

    • !run – ejecución de shell

    • !screenshot – captura de pantalla

    • !sendfile – exfiltración de archivos

Impacto en desarrolladores y ecosistema cripto

La campaña abusa de la confianza en npm para comprometer workstations de desarrolladores, habilitando el robo de wallets, claves privadas y secretos de despliegue. Aunque los paquetes ya fueron retirados, los sistemas infectados mantienen persistencia vía Discord, permitiendo espionaje continuo o la carga de payloads secundarios.

El uso de Discord como C2 evade detecciones tradicionales basadas en dominios maliciosos, subrayando los riesgos de supply chain en proyectos de código abierto, especialmente en el ámbito cripto.

Medidas de mitigación

Para desarrolladores

  • Escanear entornos npm con herramientas como Socket o Retire.js.

  • Revisar dependencias recientes y bloquear instalaciones no verificadas.

  • Rotar credenciales de wallets y APIs potencialmente expuestas.

  • Monitorear tráfico hacia APIs de Discord sospechosas.

  • Ejecutar limpieza inmediata en nodos infectados (kill de procesos y reinstalación confiable).

Para organizaciones

  • Implementar SBOM (Software Bill of Materials).

  • Establecer políticas de revisión de paquetes de terceros.

  • Priorizar firmas digitales y verificación de integridad en CI/CD.

  • Añadir detecciones específicas en EDR/SIEM para ejecuciones postinstall anómalas.

Fuente: https://www.cryptopolitan.com/researchers-uncover-fake-bitcoin-npm-package/
← Anterior Coolify expone 11 vulnerabilidades críti...
Siguiente → Cisco corrige vulnerabilidad crítica RCE...
Escrito por:
Luis Carreón
📰 Otras noticias del día
CISA incorpora vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView al catálogo KEV
OpenAI presenta ChatGPT Health: IA médica con aislamiento y cifrado de datos
Coolify expone 11 vulnerabilidades críticas que permiten control total en entornos self-hosted
Cisco corrige vulnerabilidad crítica RCE en Identity Services Engine tras PoC público
Cisco Talos atribuye campaña de espionaje a UAT-7290 contra telecomunicaciones
Gusano de WhatsApp propaga Astaroth y golpea a la banca digital en Brasil
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio