关键词
安全研究人员发现,一起新的 NPM 供应链攻击利用“图片藏毒”技术传播远控木马。研究由 Veracode 威胁情报团队披露,恶意包被上传至 npm 平台,名称为 buildrunner-dev,通过拼写混淆(typosquatting)冒充正常工具 buildrunner,诱导开发者误装。
攻击从安装瞬间启动。恶意包会下载一个名为 packageloader.bat 的批处理文件,该文件超过1600行内容,但绝大部分是无意义的“噪音”文本,用于干扰安全扫描。真正执行恶意行为的指令仅有约20行。这是一种典型的混淆与填充式对抗技术。
脚本随后会检测系统是否安装 ESET、Malwarebytes、F-Secure 等安全软件,如发现则调整执行路径以规避检测。接着它将自身复制为隐藏文件 protect.bat,并尝试获取管理员权限。如果权限不足,则调用 Windows 内置的 fodhelper.exe 绕过 UAC 提示,实现静默提权。
攻击的核心亮点在于使用隐写术(steganography)。恶意程序会从公共图床下载一张普通 PNG 图片。表面上这只是一张噪点图片,但程序会读取其 RGB 像素值,从中提取隐藏的二进制代码。真正的恶意载荷被嵌入在图像数据中,而非传统可执行文件。
随后,攻击者使用进程空洞化(process hollowing)技术,将恶意代码注入到一个正常进程中运行,以降低被发现概率。最终载荷为 Pulsar RAT,这是一种远程控制木马,可赋予攻击者对受害系统的完全控制权。恶意程序在内存中使用诸如 CheaperMyanmarCaribbean.exe 等异常命名以混淆分析。
这起事件再次证明,开源生态的供应链风险正在升级。攻击者不仅利用拼写误导,还通过高度混淆、图像隐写和进程注入等多层技术隐藏真实意图。对于开发者而言,依赖包管理平台时应启用包来源审计、哈希校验与最小权限运行策略,同时避免盲目安装名称相似的第三方工具。
从趋势看,恶意代码正越来越多地采用“内容伪装”与“多阶段加载”方式,传统基于文件特征的检测已难以完全覆盖。供应链安全,将继续成为未来几年开发环境中的核心风险点。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴