伪装成以太坊工具的 NPM 包部署了 Quasar RAT

Socket 的网络安全研究人员最近发现了一个恶意的 NPM 包“ethereumvulncontracthandler”，它伪装成一个用于检测以太坊智能合约漏洞的合法工具。然而，这个包却秘密地将一个复杂的远程访问木马Quasar RAT安装到开发人员的系统中。

该恶意软件包于 2024 年 12 月 18 日由一名使用别名“solidit-dev-416”的攻击者发布。进一步调查发现，该恶意软件包使用了 Base64 和 XOR 编码等重度混淆技术来逃避检测。安装后，它会从远程服务器下载恶意脚本，然后静默执行该脚本以在 Windows 系统上部署 Quasar RAT。

威胁者采用了各种欺骗手段来确保恶意软件的持久性。初始 npm 包充当加载器，并从远程服务器检索/执行 Quasar RAT。一旦执行，恶意脚本就会运行隐藏的 PowerShell 命令并安装 Quasar RAT。

为此，它还修改了 Windows 注册表以确保持久性。受感染的机器随后与 captchacdncom:7000 的命令和控制服务器进行通信，从而使威胁行为者能够保持控制并可能进一步传播感染。

供您参考，Quasar RAT 是一种危险的恶意软件，以其广泛的功能而闻名，例如击键记录、屏幕截图和凭据收集。它已成为开发人员的重大威胁，可能会泄露私钥和敏感信息。

最近发现了另一个针对 Roblox 开发人员的恶意软件活动，该活动利用 NPM 包窃取敏感数据并入侵系统。该活动还涉及投放 Quasar RAT 有效载荷。

此类事件凸显了开发人员需要保持警惕，仔细审查第三方代码（尤其是来自未知来源的代码），并使用工具来监控依赖项以发现潜在威胁。这种主动识别和缓解恶意软件包的方法可以帮助保护系统并防止恶意行为者入侵。

研究人员在博客文章中指出：“无论是对于个人开发者还是大型组织，Quasar RAT 在受信任环境中的存在都可能带来灾难性的后果。尤其是以太坊开发者，他们面临着暴露与重大金融资产相关的私钥和凭证的风险。”

对此，位于亚利桑那州斯科茨代尔的综合证书生命周期管理 (CLM) 提供商 Sectigo 的高级研究员Jason Soroko告诉 Hackread， “以太坊智能合约是去中心化应用程序的支柱。这个恶意 NPM 包伪装成漏洞扫描器，但安装了 Quasar RAT 来监视敏感项目、窃取数据和破坏系统。安全团队必须验证未经验证的代码、监视注册表更改并注意异常的网络活动。”

来源：https://hackread.com/npm-package-disguised-ethereum-tool-quasar-rat/