文章总结： PixelCode攻击将恶意可执行文件编码为视频帧像素，利用YouTube等可信平台托管，C++加载器下载并内存重构执行，绕过传统文件与流量检测，需行为与内存监控防御。 综合评分： 88 文章分类： 恶意软件,威胁情报,红队,免杀,漏洞分析

新型 PixelCode 攻击通过图像像素编码走私恶意软件

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月22日 09:00 湖北

导读

一种名为“PixelCode”的新型恶意软件传播技术已被展示，该技术将恶意可执行文件直接编码到视频帧中。

这种方法允许攻击者将这些视频托管在 YouTube 等合法平台上，从而帮助恶意软件逃避传统的检测机制。

PixelCode 技术将二进制可执行文件转换为视觉像素数据，有效地将恶意软件伪装成无害的多媒体内容。

攻击者可以将可执行文件的每个字节转换为结构化的颜色矩阵，从而将整个有效载荷嵌入到图像或视频文件中，而不会暴露其原始二进制形式。

根据 S3N4T0R 的说法，攻击链始于一个恶意 C++ 有效载荷，该有效载荷旨在进行命令和控制通信。编译完成后，可执行文件会通过基于 Python 的编码器进行处理，该编码器会将二进制文件转换为 PixelCode MP4 视频文件。

这段编码后的视频随后被上传到YouTube，攻击者可以利用这个受信任平台的基础设施进行有效载荷托管。

多阶段交付流程

该分发机制采用了一种复杂的多阶段方法。一个定制的 C++ 加载器包含一个指向 PixelCode 视频的嵌入式YouTube URL 。

加载器检索 PixelCode 视频以重新建立 BEAR-C2 控制（来源：S3N4T0R）

由于 C++ 缺乏原生多媒体解码库，研究人员将一个 Base64 编码的 Python 暂存器直接嵌入到加载器中。当在目标系统上执行时，加载器会从 YouTube 下载 PixelCode 视频并部署嵌入式 Python 暂存器。

该暂存器逐帧处理视频，提取像素数据，并在执行前在内存中重建原始恶意可执行文件。

这种技术给传统的安全解决方案带来了巨大的检测挑战。攻击者通过将恶意软件伪装成托管在可信平台上的合法视频内容，可以绕过传统的基于文件的扫描和网络过滤机制。

将像素代码视频上传到 YouTube（来源：S3N4T0R）

旨在检查可执行文件的安全过滤器可能不会以同样的严格程度审查多媒体内容。一名专门从事对手模拟和防御规避的进攻性安全工程师 S3N4T0R 开发了用于研究和教育目的的概念验证。

该研究人员此前已开发出多种APT模拟工具，包括BEAR C2框架以及模拟APT28和APT29威胁组织的对抗模拟工具。

各组织应实施行为分析和基于记忆的检测能力，以识别涉及有效载荷重构的可疑活动。

重建并执行原始有效载荷（来源：S3N4T0R）

网络监控中，对于异常视频下载及其随后立即执行的模式，可能有助于检测这种攻击途径。

此外，在安全级别较高的环境中，各组织应限制从外部视频托管平台分发可执行内容。

PixelCode 技术凸显了恶意软件传播方式的不断演变和日益复杂的复杂性，以及超越传统基于特征的检测的纵深防御策略的重要性。

技术报告：

《恶意像素代码传递技术》

https://github.com/S3N4T0R-0X0/Malicious-PixelCode

新闻链接：

New PixelCode Attack Smuggles Malware via Image Pixel Encoding

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《新型 PixelCode 攻击通过图像像素编码走私恶意软件》