Novo malware NodeCordRAT se disfarça em pacotes npm de bitcoin

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores da Zscaler identificaram três pacotes npm maliciosos que distribuem um malware de acesso remoto chamado NodeCordRAT, disfarçado como bibliotecas relacionadas à criptomoeda Bitcoin. Os pacotes, bitcoin-main-lib, bitcoin-lib-js e bip40, foram removidos em novembro de 2025 após serem enviados por um usuário identificado como wenmoonx. Durante a instalação, os pacotes executam um script que instala o bip40, que contém o payload malicioso. O NodeCordRAT é um trojan que pode roubar dados sensíveis, como credenciais do Chrome e tokens de API, além de utilizar servidores do Discord para comunicação de comando e controle. O malware é capaz de executar comandos na máquina da vítima, tirar capturas de tela e enviar arquivos para o Discord. Embora os pacotes maliciosos tenham sido removidos, é essencial que os desenvolvedores permaneçam vigilantes ao baixar pacotes, verificando sua popularidade e comentários antes da instalação.

Fonte: https://canaltech.com.br/seguranca/novo-malware-nodecordrat-se-esconde-em-pacotes-npm-com-tematica-bitcoin/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
08/01/2026 • Risco: ALTO
MALWARE

Novo malware NodeCordRAT se disfarça em pacotes npm de bitcoin

RESUMO EXECUTIVO
O incidente com o NodeCordRAT destaca a importância de monitorar e validar pacotes de software utilizados em ambientes de desenvolvimento. A exploração de pacotes npm pode resultar em sérios compromissos de segurança, exigindo atenção contínua dos CISOs.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de dados e à recuperação de sistemas comprometidos.
Operacional
Roubo de credenciais e dados sensíveis dos usuários.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

bitcoin-main-lib com 2.300 downloads. Indicador
bitcoin-lib-js com 193 downloads. Contexto BR
bip40 com 970 downloads. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se há pacotes npm instalados que possam ser maliciosos.
2 Remover pacotes suspeitos e revisar as permissões de acesso a dados sensíveis.
3 Monitorar continuamente a instalação de novos pacotes e a atividade de rede relacionada ao Discord.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de pacotes de software, pois a exploração de vulnerabilidades pode levar a compromissos de dados significativos.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e à proteção de dados.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).