關(guān)鍵詞

網(wǎng)絡(luò)病毒

安全研究人員發(fā)現(xiàn)，一起新的 NPM 供應(yīng)鏈攻擊利用“圖片藏毒”技術(shù)傳播遠控木馬。研究由 Veracode 威脅情報團隊披露，惡意包被上傳至 npm 平臺，名稱為 buildrunner-dev，通過拼寫混淆（typosquatting）冒充正常工具 buildrunner，誘導(dǎo)開發(fā)者誤裝。

攻擊從安裝瞬間啟動。惡意包會下載一個名為 packageloader.bat 的批處理文件，該文件超過1600行內(nèi)容，但絕大部分是無意義的“噪音”文本，用于干擾安全掃描。真正執(zhí)行惡意行為的指令僅有約20行。這是一種典型的混淆與填充式對抗技術(shù)。

腳本隨后會檢測系統(tǒng)是否安裝 ESET、Malwarebytes、F-Secure 等安全軟件，如發(fā)現(xiàn)則調(diào)整執(zhí)行路徑以規(guī)避檢測。接著它將自身復(fù)制為隱藏文件 protect.bat，并嘗試獲取管理員權(quán)限。如果權(quán)限不足，則調(diào)用 Windows 內(nèi)置的 fodhelper.exe 繞過 UAC 提示，實現(xiàn)靜默提權(quán)。

攻擊的核心亮點在于使用隱寫術(shù)（steganography）。惡意程序會從公共圖床下載一張普通 PNG 圖片。表面上這只是一張噪點圖片，但程序會讀取其 RGB 像素值，從中提取隱藏的二進制代碼。真正的惡意載荷被嵌入在圖像數(shù)據(jù)中，而非傳統(tǒng)可執(zhí)行文件。

隨后，攻擊者使用進程空洞化（process hollowing）技術(shù)，將惡意代碼注入到一個正常進程中運行，以降低被發(fā)現(xiàn)概率。最終載荷為 Pulsar RAT，這是一種遠程控制木馬，可賦予攻擊者對受害系統(tǒng)的完全控制權(quán)。惡意程序在內(nèi)存中使用諸如 CheaperMyanmarCaribbean.exe 等異常命名以混淆分析。

這起事件再次證明，開源生態(tài)的供應(yīng)鏈風(fēng)險正在升級。攻擊者不僅利用拼寫誤導(dǎo)，還通過高度混淆、圖像隱寫和進程注入等多層技術(shù)隱藏真實意圖。對于開發(fā)者而言，依賴包管理平臺時應(yīng)啟用包來源審計、哈希校驗與最小權(quán)限運行策略，同時避免盲目安裝名稱相似的第三方工具。

從趨勢看，惡意代碼正越來越多地采用“內(nèi)容偽裝”與“多階段加載”方式，傳統(tǒng)基于文件特征的檢測已難以完全覆蓋。供應(yīng)鏈安全，將繼續(xù)成為未來幾年開發(fā)環(huán)境中的核心風(fēng)險點。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！