Pacotes npm maliciosos distribuem malware NodeCordRAT

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança descobriram três pacotes npm maliciosos que visam distribuir um malware inédito chamado NodeCordRAT. Os pacotes, que foram removidos em novembro de 2025, são ‘bitcoin-main-lib’, ‘bitcoin-lib-js’ e ‘bip40’, todos enviados por um usuário identificado como ‘wenmoonx’. Os dois primeiros pacotes executam um script de pós-instalação que instala o pacote ‘bip40’, que contém o payload malicioso. O NodeCordRAT é um trojan de acesso remoto (RAT) que possui a capacidade de roubar credenciais do Google Chrome, tokens de API e frases-semente de carteiras de criptomoedas como a MetaMask. O malware utiliza servidores do Discord para comunicação de comando e controle, permitindo que o invasor execute comandos arbitrários, capture screenshots e exfiltre arquivos. A ameaça é considerada significativa, pois o ator por trás da campanha nomeou os pacotes de forma semelhante a repositórios legítimos do projeto bitcoinjs, o que pode enganar desenvolvedores. A Zscaler, empresa de cibersegurança que identificou a ameaça, alerta para a necessidade de vigilância em relação a pacotes npm e suas dependências.

Fonte: https://thehackernews.com/2026/01/researchers-uncover-nodecordrat-hidden.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
08/01/2026 • Risco: ALTO
MALWARE

Pacotes npm maliciosos distribuem malware NodeCordRAT

RESUMO EXECUTIVO
O incidente com os pacotes npm maliciosos representa uma ameaça significativa para desenvolvedores e empresas que utilizam tecnologias relacionadas a criptomoedas. A capacidade do NodeCordRAT de roubar informações sensíveis pode resultar em sérios danos financeiros e de reputação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de dados e comprometimento de sistemas.
Operacional
Roubo de credenciais e dados sensíveis de usuários.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

bitcoin-main-lib (2.300 downloads) Indicador
bitcoin-lib-js (193 downloads) Contexto BR
bip40 (970 downloads) Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se pacotes npm maliciosos foram instalados em sistemas.
2 Remover pacotes suspeitos e monitorar atividades de rede relacionadas ao Discord.
3 Monitorar continuamente o uso de pacotes npm e a segurança das credenciais de acesso.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de pacotes de software, especialmente em ambientes de desenvolvimento que utilizam npm, pois isso pode impactar a segurança geral da organização.

⚖️ COMPLIANCE

Implicações na LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
mitigado
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).