文章总结： Veracode发现NPM供应链攻击事件，黑客通过域名抢注发布恶意包buildrunner-dev。该包利用混淆技术、检测杀毒软件及UAC绕过手段，并采用隐写术将PulsarRAT代码隐藏在PNG图片的RGB像素中。攻击结合进程空心化技术，实现对计算机的完全控制。该案例警示开发者需警惕供应链风险及新型隐写攻击手段。 综合评分： 74 文章分类： 供应链安全,恶意软件,威胁情报

黑客将 Pulsar RAT 隐藏在 PNG 图片中，发动新的 NPM 供应链攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月23日 06:46 辽宁

Veracode 的网络安全研究人员发现了一种域名抢注攻击，该攻击将 Pulsar RAT 伪装成图像，以绕过 Windows 安全和防病毒程序。

一种新型网络攻击被发现，它利用普通图像来隐藏危险病毒。Veracode威胁研究公司的专家在NPM（一个被数百万软件开发者用于共享工具的大型网站）上发现了一个恶意软件包。该软件包伪装成普通的软件，但其真正目的是控制用户的计算机。

该软件包被命名为[此处应填写软件包名称buildrunner-dev]。这正是陷阱所在，因为黑客使用了域名抢注技术，将其命名为与一款名为buildrunner的真实安全工具几乎相同的名称，希望有人会拼写错误并意外下载。这表明攻击从软件安装的那一刻就开始了。

非常混乱的干扰

该软件包一旦安装到计算机上，就会运行一个脚本，下载一个名为 packageloader.bat 的文件。需要注意的是，这个文件非常庞大且令人费解。它包含超过 1600 行文本，但其中大部分只是为了掩盖病毒，使其无法被安全扫描程序检测到。Veracode 的研究人员在独家分享给 Hackread.com 的博文中解释道。

研究人员表示，该文件充斥着诸如“渡鸦”、“冰川”和“季风”之类的随机词语，这些词语实际上没有任何作用。整个文件中，只有大约21行是真正的命令。进一步的调查显示，该恶意软件还相当智能；它会检查你是否安装了ESET、Malwarebytes或F-Secure等杀毒软件。

如果它找到了安全系统，就会使用各种技巧悄悄绕过它们而不触发任何警报。它首先将自身复制到一个隐藏文件夹中，命名为 protect.bat，以便驻留在计算机上。然后，它会检查自己是否拥有“管理员”权限。如果没有，它会使用一个名为“绕过”的 Windows 工具fodhelper.exe来绕过安全警告，这样用户就不会看到任何请求权限的弹出窗口。

隐藏在图像中

这次攻击最有趣的地方在于它如何将病毒隐藏在图像中。这被称为隐写术。恶意软件会从一个免费托管网站下载一张PNG图像，在普通人看来，这张图片只是模糊不清的“噪点”。然而，恶意软件被编程为读取图像中微小的颜色数据（即RGB像素值），从而找到隐藏的代码。

此外，研究人员发现，该恶意软件使用了一种名为进程空心化的技巧，它会将安全程序的“内部”代码替换为恶意代码，使其看起来像一个正常的进程。然后，它会安装一个名为Pulsar RAT的最终恶意软件。

Pulsar 是一种远程访问木马，它能让黑客完全控制计算机。黑客使用诸如“Pulsar”之类的奇怪名称，CheaperMyanmarCaribbean.exe将病毒隐藏在计算机内存中。虽然该病毒是在 NPM 上的一个技术专家工具中发现的，但这表明即使是简单的图像文件也可以用来隐藏重大威胁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客将 Pulsar RAT 隐藏在 PNG 图片中，发动新的 NPM 供应链攻击》