La société de recherche en sécurité Zscaler ThreatLabz a identifié trois paquets npm malveillants se faisant passer pour des bibliothèques liées au Bitcoin, qui ont été téléchargés plus de 3 400 fois avant d'être retirés. Les paquets, nommés bitcoin-main-lib, bitcoin-lib-js et bip40, ont été utilisés pour déployer un cheval de Troie d'accès à distance (RAT) appelé NodeCordRAT. Ce malware est capable de voler les identifiants de connexion Chrome, les jetons API, ainsi que les clés privées ou phrases de récupération des portefeuilles MetaMask, et il fonctionne via un contrôle par commande via des serveurs Discord. Le malware s'active via des scripts d'installation à l'insu du développeur, soulignant le risque croissant au sein de la chaîne d'approvisionnement npm. Les équipes de sécurité sont invitées à rester vigilantes alors que ces menaces continuent d'augmenter.