Pacote NPM malicioso usa esteganografia em PNGs para distribuir RAT Pulsar

Pacote NPM malicioso 'buildrunner-dev' usa esteganografia para esconder malware em imagens PNG, distribuindo o RAT Pulsar e burlando antivírus. A campanha explora typosquatting de pacotes abandonados.

Analistas da Veracode descobriram um pacote NPM malicioso chamado "buildrunner-dev" que emprega técnicas avançadas de esteganografia para ocultar malware .NET dentro de imagens PNG inofensivas, conseguindo assim burlar ferramentas antivírus e implantar o Remote Access Trojan (RAT) Pulsar em sistemas Windows. A campanha, descoberta em fevereiro de 2026, representa uma mudança significativa nos métodos de ataque à cadeia de suprimentos de software.

A cadeia de infecção

O pacote malicioso foi criado como um typosquatting dos pacotes legítimos "buildrunner" e "build-runner", que foram abandonados por seus mantenedores. Desenvolvedores em busca dessas bibliotecas podem instalar acidentalmente a versão maliciosa. Após a instalação via `npm install`, um hook postinstall executa automaticamente um script `init.js`, que baixa silenciosamente um arquivo batch (`packageloader.bat`) de um repositório Codeberg e o copia para a pasta de inicialização do Windows para persistência.

Ocultando o malware em pixels

O cerne da evasão está no uso da esteganografia. Dois arquivos PNG hospedados no ImgBB carregavam os componentes maliciosos:

6b8owksyv28w.png: Uma imagem de 41x41 pixels que continha um script PowerShell de bypass AMSI.
0zt4quciwxs2.png: Uma imagem de 141x141 pixels que continha um loader .NET comprimido de 136 KB.

O malware codificou os payloads diretamente nos valores RGB dos pixels das imagens. Um terceiro PNG esteganográfico servia como canal de comando e controle (C2) para entregar o payload final do RAT Pulsar sob demanda.

Técnicas de ofuscação e privilégio

O arquivo batch malicioso continha 1.653 linhas, mas apenas 21 linhas de instruções funcionais; o restante era ruído fabricado para confundir análise estática. Antes de executar seu payload, o malware verificava privilégios de administrador e elevava silenciosamente seus privilégios usando a técnica de bypass UAC do `fodhelper.exe`. Ele então consultava o sistema por produtos antivírus instalados e adaptava o caminho de infecção conforme o resultado, finalizando com a injeção do Pulsar RAT em um processo legítimo do Windows.

Indicadores e recomendações

Indicadores de Comprometimento (IOCs) incluem o pacote NPM `buildrunner-dev`, URLs de imagens específicas e nomes de arquivos como `packageloader.bat` e `JJYDJO.exe`. A Veracode recomenda que equipes de segurança:

Auditem pacotes NPM antes da instalação.
Desabilitem a execução automática de scripts postinstall.
Monitorem comportamentos anômalos do PowerShell.
Fiquem atentas a alterações no registro relacionadas a bypass de UAC e conexões de saída para serviços de hospedagem de imagens gratuitos.

Este caso demonstra a crescente sofisticação dos ataques à cadeia de suprimentos de código aberto, onde a camuflagem e a evasão são priorizadas para atingir desenvolvedores.