Yeni Malware Tehditi: NodeCordRAT
Güvenlik araştırmacıları, daha önce belgelenmemiş bir kötü amaçlı yazılım olan NodeCordRAT‘ın dağıtımını gerçekleştiren üç kötü niyetli npm paketini keşfetti. Bu durum, yazılım geliştirme platformları üzerinden yayılacak olan tehditlerin ciddiyetini gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Bu paketlerin isimleri, tümü Kasım 2025 itibarıyla kaldırılmıştır ve “wenmoonx” adlı bir kullanıcı tarafından yüklenmiştir. “bitcoin-main-lib” ve “bitcoin-lib-js” paketleri, yükleme sırasında postinstall.cjs adlı bir betiği çalıştırarak, kötü amaçlı yük içeren bip40 adlı paketi kurmaktadır. Zscaler ThreatLabz araştırmacıları, bu durumda NodeCordRAT’ın uzaktan erişim trojanı (RAT) olarak işlev gördüğünü ve veri çalma yeteneğine sahip olduğunu belirtmiştir.
NodeCordRAT, npm’i yayılma vektörü olarak kullanırken, Discord sunucularını komut ve kontrol (C2) iletişimi için kullanmaktadır. Bu kötü amaçlı yazılım, Google Chrome kimlik bilgilerini, API token’larını ve MetaMask gibi kripto para cüzdanlarının seed şifrelerini çalma kapasitesine sahiptir.
Etkilenen Sistemler
Malware, Windows, Linux ve macOS sistemlerinde benzersiz bir tanımlayıcı oluşturmak için enfekte olmuş ana bilgisayarın parmak izi alıyor. Bunun yanı sıra, belirli komutları alıp yürütmek amacıyla bir Discord sunucusu üzerinden gizli bir iletişim kanalı açıyor.
Bu süreçte, aşağıdaki komutları gerçekleştirme yeteneğine sahiptir:
- !run: Node.js’in exec işlevini kullanarak rastgele shell komutları çalıştırır.
- !screenshot: Tam masaüstü ekran görüntüsü alarak PNG dosyasını Discord kanalına aktarır.
- !sendfile: Belirtilen bir dosyayı Discord kanalına yükler.
Zscaler, bu verilerin Discord’un API’si kullanılarak ve sabit kodlanmış bir token ile özel bir kanala gönderildiğini belirtmiştir. Çalınan dosyalar, Discord’un REST uç noktası üzerinden mesaj ekleri olarak yüklenir.
Çözüm ve Korunma
Kullanıcılar ve yazılım geliştirme ekipleri, aşağıdaki önlemleri alarak NodeCordRAT ve benzeri tehditlerden korunabilir:
- npm paketlerinizi düzenli bir şekilde gözden geçirin ve güvenilmeyen kaynaklardan yüklemeler yapmaktan kaçının.
- Paketlerin package.json dosyalarını inceleyin ve postinstall.cjs betiği gibi tuhaf veya şüpheli içerikler için dikkatli olun.
- Güncellemeleri düzenli olarak yükleyin ve kullanılan tüm yazılımları güncel tutun.
- Güvenlik yazılımlarınızı güncel tutmak ve kötü amaçlı yazılımlara karşı sürekli tarama yapmak, koruma sağlayacaktır.
Sonuç olarak, yazılım geliştirme süreçlerinde dikkatli olmak ve üçüncü taraf paketleri kullanmadan önce güvenilirliğini sorgulamak büyük önem taşımaktadır. Geliştiricilerin ayrıca, gerekli güvenlik güncellemelerini uygulamaları ve potansiyel tehditlere karşı aktif bir şekilde hazırlıklı olmaları gerekmektedir.
