Novo malware NodeCordRAT se disfarça em pacotes npm de bitcoin
Pesquisadores da Zscaler identificaram três pacotes npm maliciosos que distribuem um malware de acesso remoto chamado NodeCordRAT, disfarçado como bibliotecas relacionadas à criptomoeda Bitcoin. Os pacotes, bitcoin-main-lib, bitcoin-lib-js e bip40, foram removidos em novembro de 2025 após serem enviados por um usuário identificado como wenmoonx. Durante a instalação, os pacotes executam um script que instala o bip40, que contém o payload malicioso. O NodeCordRAT é um trojan que pode roubar dados sensíveis, como credenciais do Chrome e tokens de API, além de utilizar servidores do Discord para comunicação de comando e controle. O malware é capaz de executar comandos na máquina da vítima, tirar capturas de tela e enviar arquivos para o Discord. Embora os pacotes maliciosos tenham sido removidos, é essencial que os desenvolvedores permaneçam vigilantes ao baixar pacotes, verificando sua popularidade e comentários antes da instalação.