Especialistas da empresa de segurança Veracode identificaram um pacote npm malicioso que oculta o trojan de acesso remoto (RAT) Pulsar, desenvolvido em .NET, dentro de imagens PNG. Trata-se de um malware altamente complexo, que combina diversos processos conhecidos para confundir antivírus e enganar a detecção do usuário, passando a impressão de ser apenas um repositório antigo e inofensivo.
Como o malware engana o antivírus
O arquivo JSON do vírus inicia com typosquatting para fingir ser o legítimo buildrunner, cujos pacotes npm já foram abandonados. Essa estratégia faz com que o desenvolvedor que nota o pacote busque pelo nome original e pense que se trata de uma variante recente, ignorando o arquivo e permitindo que o RAT seja instalado na máquina.
Todo o processo de instalação do malware é longo e complexo de propósito. Tudo começa quando o usuário roda qualquer npm install, mas isso só traz um downloader separado, que se liga à pasta de inicialização do Windows com um nome aleatório para seguir na máquina sem levantar suspeitas. Na próxima vez que o computador é ligado, então, o arquivo age.
De todas as 1.653 linhas do vírus, somente 21 importam, ofuscando os comandos em meio a texto lixo. Caso alguém abra o arquivo, nada fará muito sentido, o que pode fazer com que passe despercebido. Há muitas camadas: o comando malicioso é separado entre 909 variáveis diferentes, sendo que 51 delas codificam strings em base64 que se tornam comandos inofensivos.
Tudo isso evita a detecção e, finalmente, quando o malware age, ele gera uma cópia de si mesmo, garante a obtenção de privilégios de administrador e lança o payload. Duas imagens escondem, com esteganografia, códigos maliciosos nos pixels, responsáveis por detectar antivírus: para cada marca, uma série de comandos diferentes é executada, mostrando adaptação complexa ao ambiente.
Usando tipos de arquivo que evitam análise dos antivírus comuns e reescrevendo partes de seu código, o malware começa a esvaziar processos do Windows para substituí-los pelo agente malicioso e fazer com que pareça legítimo. Sequer o uso de memória sofre modificações, fazendo com que a máquina acredite que tudo está bem.
Por fim, o arquivo ainda usa uma última imagem esteganográfica para rodar o RAT.
Como se proteger
O programa em si é o Pulsar, já descrito pela Veracode em junho de 2025, com um malware “irmão” chamado Quasar. Para os programadores de plantão, convém ficar de olho no pacote buildrunner-dev para detectar qualquer anormalidade como as descritas aqui e bloquear a URL hxxps://i.ibb[.]co/tpyTL2Zg/s9rugowxbq8i.png, que representa o arquivo malicioso em si.
Este caso reforça a importância de manter antivírus atualizados e adotar boas práticas de segurança, como evitar instalar pacotes de fontes desconhecidas e revisar o código antes de executá-lo em ambientes de produção.