Um novo e altamente complexo malware está desafiando as defesas tradicionais do Windows, utilizando táticas inovadoras para se esconder e dominar sistemas. Descoberto por pesquisadores da empresa de segurança Veracode, este pacote npm malicioso, que esconde o trojan de acesso remoto (RAT) Pulsar, escrito em .NET, utiliza imagens PNG para camuflar seu código malicioso. A ameaça combina múltiplos processos conhecidos e técnicas de ofuscação para confundir antivírus e usuários, dando a impressão de ser apenas um repositório antigo e inofensivo.
A Engenharia por Trás do Ataque ‘Cego’
O ataque começa de forma sorrateira com o uso de typosquatting. O arquivo JSON do vírus se disfarça como o legítimo, porém abandonado, pacote npm ‘buildrunner’. Essa jogada astuta faz com que desenvolvedores que buscam o nome pensem que se trata de uma variante recente e ignorem a verdadeira natureza do arquivo, permitindo a instalação do RAT na máquina. O processo de instalação é intencionalmente longo e complexo. Ao rodar qualquer comando npm install, um downloader separado é ativado, que se liga à pasta de inicialização do Windows com um nome aleatório, garantindo sua persistência e agindo na próxima inicialização do computador.
Esteganografia e Ofuscação para Iludir Antivírus
Das 1.653 linhas de código do vírus, apenas 21 são essenciais, com o restante servindo como ‘texto lixo’ para ofuscar os comandos e dificultar a análise humana. O comando malicioso é fragmentado entre 909 variáveis diferentes, com 51 delas codificando strings em base64 que se transformam em comandos aparentemente inofensivos. Essa complexidade visa evitar a detecção. Quando o malware finalmente age, ele gera uma cópia de si mesmo, eleva seus privilégios para administrador e lança o payload. Duas imagens escondem, por meio de esteganografia (a arte de esconder informações em arquivos de mídia), códigos maliciosos nos pixels, responsáveis por detectar antivírus instalados. Para cada marca de antivírus, uma série de comandos diferentes é executada, demonstrando uma adaptação complexa ao ambiente.
Domínio Silencioso e Invisível do Sistema
O malware utiliza tipos de arquivo que evitam a análise de antivírus comuns e reescreve partes de seu código. Ele começa a esvaziar processos legítimos do Windows para substituí-los pelo agente malicioso, fazendo com que pareça uma operação legítima do sistema. Incrivelmente, o uso de memória sequer sofre modificações, enganando o sistema e fazendo-o acreditar que tudo está funcionando normalmente. Por fim, uma última imagem esteganográfica é usada para executar o RAT, consolidando o controle sobre a máquina.
Como se Proteger da Ameaça Pulsar
O programa em si é o Pulsar, já descrito pela Veracode em junho de 2025, e possui um malware ‘irmão’ chamado Quasar. Para desenvolvedores e programadores, é crucial ficar atento ao pacote buildrunner-dev para detectar qualquer anomalia. Além disso, recomenda-se bloquear a URL hxxps://i.ibb[.]co/tpyTL2Zg/s9rugowxbq8i.png, que representa o arquivo malicioso em questão. A vigilância e a atualização constante das ferramentas de segurança são essenciais para combater ameaças tão sofisticadas.
Fonte: canaltech.com.br