安全研究机构 Zscaler ThreatLabz 发现 3 个伪装成比特币相关库的恶意 npm 包(bitcoin-main-lib、bitcoin-lib-js、bip40),在被下架前累计下载超 3,400 次,用于植入名为 NodeCordRAT 的远控木马。NodeCordRAT 能窃取 Chrome 登录凭证、API Token 及 MetaMask 钱包私钥/助记词,并通过 Discord 服务器进行命令控制。恶意软件通过安装脚本在开发者不知情时激活,安全团队提示 npm 供应链风险仍在上升。(cryptopolitan)
