enero 14, 2026
npm-malware.jpg

8 de enero de 2026Ravie LakshmananMalware/Seguridad en la nube

Investigadores de ciberseguridad han descubierto tres paquetes NPM maliciosos diseñados para entregar un malware previamente no documentado llamado ” NodoCordRAT.

Los nombres de los paquetes, todos eliminados a partir de noviembre de 2025, se enumeran a continuación. Fueron subidos por un usuario llamado “wenmoonx”.

“Los paquetes bitcoin-main-lib y bitcoin-lib-js ejecutan un script postinstall.cjs durante la instalación que instala bip40, el paquete que contiene la carga maliciosa”, dijeron los investigadores de Zscaler ThreatLabz, Satyam Singh y Lakhan Parashar. “Esta última carga útil, denominada NodeCordRAT por ThreatLabz, es un troyano de acceso remoto (RAT) con capacidades de robo de datos”.

NodeCordRAT recibe su nombre del uso de npm como vector de propagación y servidores Discord para la comunicación de comando y control (C2). El malware está diseñado para robar credenciales de Google Chrome, tokens API y frases iniciales de billeteras de criptomonedas como MetaMask.

Ciberseguridad

Según la empresa de ciberseguridad, se dice que el actor de amenazas detrás de la campaña nombró los paquetes en honor a repositorios reales encontrados en el proyecto legítimo BitcoinJS, como bitcoinjs-lib, bip32, bip38 y bip38.

Tanto “bitcoin-main-lib” como “bitcoin-lib-js” contienen un archivo “package.json” que contiene “postinstall.cjs” como script postinstalación, lo que da como resultado la ejecución de “bip40” que contiene la carga útil NodeCordRAT.

El malware no solo captura la huella digital del host infectado para generar un identificador único en los sistemas Windows, Linux y macOS, sino que también utiliza un servidor Discord codificado para abrir un canal de comunicación encubierto para recibir y ejecutar instrucciones.

  • !run para ejecutar comandos de shell arbitrarios utilizando la función Exec de Node.js
  • !captura de pantalla para tomar una captura de pantalla completa del escritorio y exportar el archivo PNG al canal de Discord
  • !sendfile para subir un archivo específico al canal de Discord

“Estos datos se extraen utilizando la API de Discord con un token codificado y se envían a un canal privado”, dijo Zscaler. “Los archivos robados se cargan como archivos adjuntos de mensajes a través del punto final REST /channels/{id}/messages de Discord”.

About The Author

desafiomayor

See author's posts

Related News

mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0
ai-agent.jpg

Desde MCP y acceso a herramientas hasta la expansión de claves de Shadow API

enero 13, 2026 0

You may have missed

GettyImages-872226042.jpg

Ammobia dice que ha reinventado una tecnología centenaria

enero 14, 2026 0
ios-26-2-v3.png

iOS 26.3 podría admitir mensajes RCS cifrados de extremo a extremo en su iPhone

enero 14, 2026 0
jamie-siminoff-GettyImages-2237943588.jpg

El fundador de Ring describe la era de los “asistentes inteligentes” de la empresa de cámaras.

enero 14, 2026 0
cb32f98e-492c-43cd-8d19-5f49107b6d02.jpeg

Taiwán emite orden de arresto contra el director ejecutivo de OnePlus, Pete Lau

enero 14, 2026 0
GettyImages-1369564450.jpg

Los médicos creen que la IA tiene un lugar en la atención sanitaria, pero quizás no como chatbot

enero 14, 2026 0
watch-duty-app-map-cali.jpg

Seguridad en el hogar y en incendios forestales combinada: la asociación Watch Duty de Ring y lo que significa

enero 14, 2026 0