Hackers Escondem Pulsar RAT em Imagens PNG em Novo Ataque à Cadeia de Suprimentos NPM

Pesquisadores da Veracode descobriram um pacote NPM com typosquatting chamado "buildrunner-dev" que entrega o Pulsar RAT ao esconder código malicioso em imagens PNG usando esteganografia. ️ Este método permite a extração de payloads dos valores de pixel RGB em tempo de execução. A cadeia de ataque emprega um arquivo batch altamente ofuscado de 1.600 linhas com apenas 21 linhas funcionais, além de ser capaz de detectar e evadir produtos AV como ESET e Malwarebytes. O ataque utiliza ainda a técnica de process hollowing para injetar o payload final em processos legítimos. ️

Ataques à cadeia de suprimentos estão cada vez mais utilizando esteganografia baseada em imagem para contornar ferramentas tradicionais de varredura de arquivos. Desenvolvedores devem, portanto, verificar cuidadosamente os nomes dos pacotes e auditar suas dependências para mitigar riscos.