Por Lillian Sibila Dala Costa • Editado por Jones Oliveira | 08/01/2026 às 17:00
Pesquisadores de segurança da empresa Zscaler descobriram três pacotes npm maliciosos que entregam um malware de acesso remoto chamado NodeCordRAT: todos os três imitam bibliotecas ligadas à criptomoeda Bitcoin, ameaçando usuários que trabalham com a moeda digital.
Os pacotes foram tirados do ar ainda em novembro de 2025, todos enviados às plataformas pelo usuário wenmoonx. São eles o bitcoin-main-lib (com 2.300 downloads), bitcoin-lib-js (193) e bip40 (970). Durante a instalação, estes dois primeiros executam um script postinstall.cjs, instalando o bip40, pacote que contém o payload malicioso.
O nome NodeCordRAT veio da empresa de segurança ThreatLabz, que o avaliou como um trojan de acesso remoto (RAT) capaz de roubar dados, além de usar npm como um vetor de propagação e servidores do Discord para comunicações de comando e controle (C2). Os itens roubados são, principalmente, credenciais do Chrome, tokens de API e frases seed de carteiras de criptomoeda como a MetaMask.
Ao invadir a máquina da vítima, o malware faz um fingerprinting para gerar um identificador único para cada sistema operacional. Um servidor do Discord, então, recebe instruções e as executa na máquina. Elas incluem !run, para gerar comandos shell com a funções exec do Node.js, !screenshot, para gerar capturas de tela da área de trabalho e enviá-las pelo servidor, e !sendfile, para subir arquivos específicos ao Discord.
Tudo é mandado por uma API do Discord com um token fixo, pelo enpoint REST /channels/{id}/messages do aplicativo. Como a imitação do projeto legítimo bitcoinjs já foi tirada do ar, não há com que desenvolvedores se preocuparem no momento, mas calha sempre ter atenção com os pacotes baixados, checando comentários e a popularidade dos arquivos com antecedência.