文章总结： Veracode披露NPM供应链攻击，恶意包buildrunner-dev利用拼写混淆诱导安装。攻击采用图片隐写术将PulsarRAT木马藏于PNG图片，结合进程空洞化与UAC绕过实现静默投递。文章强调供应链风险升级，建议开发者启用包审计、哈希校验及最小权限策略，以应对此类采用内容伪装与多阶段加载的攻击。 综合评分： 85 文章分类： 供应链安全,恶意软件,威胁情报

【安全圈】黑客将 Pulsar RAT 藏进 PNG 图片：NPM 再现供应链投毒

安全圈

2026年2月26日 19:01 美国

关键词

网络病毒

安全研究人员发现，一起新的 NPM 供应链攻击利用“图片藏毒”技术传播远控木马。研究由 Veracode 威胁情报团队披露，恶意包被上传至 npm 平台，名称为 buildrunner-dev，通过拼写混淆（typosquatting）冒充正常工具 buildrunner，诱导开发者误装。

攻击从安装瞬间启动。恶意包会下载一个名为 packageloader.bat 的批处理文件，该文件超过1600行内容，但绝大部分是无意义的“噪音”文本，用于干扰安全扫描。真正执行恶意行为的指令仅有约20行。这是一种典型的混淆与填充式对抗技术。

脚本随后会检测系统是否安装 ESET、Malwarebytes、F-Secure 等安全软件，如发现则调整执行路径以规避检测。接着它将自身复制为隐藏文件 protect.bat，并尝试获取管理员权限。如果权限不足，则调用 Windows 内置的 fodhelper.exe 绕过 UAC 提示，实现静默提权。

攻击的核心亮点在于使用隐写术（steganography）。恶意程序会从公共图床下载一张普通 PNG 图片。表面上这只是一张噪点图片，但程序会读取其 RGB 像素值，从中提取隐藏的二进制代码。真正的恶意载荷被嵌入在图像数据中，而非传统可执行文件。

随后，攻击者使用进程空洞化（process hollowing）技术，将恶意代码注入到一个正常进程中运行，以降低被发现概率。最终载荷为 Pulsar RAT，这是一种远程控制木马，可赋予攻击者对受害系统的完全控制权。恶意程序在内存中使用诸如 CheaperMyanmarCaribbean.exe 等异常命名以混淆分析。

这起事件再次证明，开源生态的供应链风险正在升级。攻击者不仅利用拼写误导，还通过高度混淆、图像隐写和进程注入等多层技术隐藏真实意图。对于开发者而言，依赖包管理平台时应启用包来源审计、哈希校验与最小权限运行策略，同时避免盲目安装名称相似的第三方工具。

从趋势看，恶意代码正越来越多地采用“内容伪装”与“多阶段加载”方式，传统基于文件特征的检测已难以完全覆盖。供应链安全，将继续成为未来几年开发环境中的核心风险点。

END

阅读推荐

【安全圈】男子为向健身房要装修款远程破坏计算机系统被拘

【安全圈】AI 竟能 “挖穿” 大疆扫地机？普通人靠 Claude 入侵全球 6700 台设备，智能家居安全警钟炸响

【安全圈】外包商系统遭黑客入侵，沃尔沃集团近1.7万名北美员工资料外泄

【安全圈】OpenClaw 被大规模利用，上千实例沦陷

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客将 Pulsar RAT 藏进 PNG 图片：NPM 再现供应链投毒》