【安全圈】黑客将 Pulsar RAT 藏进 PNG 图片：NPM 再现供应链投毒

关键词

网络病毒

安全研究人员发现，一起新的 NPM 供应链攻击利用“图片藏毒”技术传播远控木马。研究由 Veracode 威胁情报团队披露，恶意包被上传至 npm 平台，名称为 buildrunner-dev，通过拼写混淆（typosquatting）冒充正常工具 buildrunner，诱导开发者误装。

攻击从安装瞬间启动。恶意包会下载一个名为 packageloader.bat 的批处理文件，该文件超过1600行内容，但绝大部分是无意义的“噪音”文本，用于干扰安全扫描。真正执行恶意行为的指令仅有约20行。这是一种典型的混淆与填充式对抗技术。

脚本随后会检测系统是否安装 ESET、Malwarebytes、F-Secure 等安全软件，如发现则调整执行路径以规避检测。接着它将自身复制为隐藏文件 protect.bat，并尝试获取管理员权限。如果权限不足，则调用 Windows 内置的 fodhelper.exe 绕过 UAC 提示，实现静默提权。

攻击的核心亮点在于使用隐写术（steganography）。恶意程序会从公共图床下载一张普通 PNG 图片。表面上这只是一张噪点图片，但程序会读取其 RGB 像素值，从中提取隐藏的二进制代码。真正的恶意载荷被嵌入在图像数据中，而非传统可执行文件。

随后，攻击者使用进程空洞化（process hollowing）技术，将恶意代码注入到一个正常进程中运行，以降低被发现概率。最终载荷为 Pulsar RAT，这是一种远程控制木马，可赋予攻击者对受害系统的完全控制权。恶意程序在内存中使用诸如 CheaperMyanmarCaribbean.exe 等异常命名以混淆分析。

这起事件再次证明，开源生态的供应链风险正在升级。攻击者不仅利用拼写误导，还通过高度混淆、图像隐写和进程注入等多层技术隐藏真实意图。对于开发者而言，依赖包管理平台时应启用包来源审计、哈希校验与最小权限运行策略，同时避免盲目安装名称相似的第三方工具。

从趋势看，恶意代码正越来越多地采用“内容伪装”与“多阶段加载”方式，传统基于文件特征的检测已难以完全覆盖。供应链安全，将继续成为未来几年开发环境中的核心风险点。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！