sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)
11 de julho de 2026
Falha em sistema hidráulico faz avião da Azul retornar a Viracopos; ouça áudio de piloto
11 de julho de 2026
7 protagonistas mais marcantes dos jogos de Pokémon
11 de julho de 2026
Licenciamento 2026: prazo começa a vencer em julho; veja calendário completo
11 de julho de 2026
sábado, julho 11, 2026
Top Posts
Xbox Game Pass recebe Gears of War e...
Falha em sistema hidráulico faz avião da Azul...
7 protagonistas mais marcantes dos jogos de Pokémon
Licenciamento 2026: prazo começa a vencer em julho;...
Interrupções de energia por causa de pipas aumentam...
Brasileiro Guto Miguel é campeão de duplas em...
Por onde anda Josh Hutcherson, o Peeta de...
Homem tenta escapar da ROM e acaba preso...
147 chassi 0000001: por onde anda o primeiro...
Defesa Animal promove 14ª Feirinha de Adoção 2026...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)
11 de julho de 2026
Falha em sistema hidráulico faz avião da Azul retornar a Viracopos; ouça áudio de piloto
11 de julho de 2026
7 protagonistas mais marcantes dos jogos de Pokémon
11 de julho de 2026
Licenciamento 2026: prazo começa a vencer em julho; veja calendário completo
11 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)
11 de julho de 2026
Falha em sistema hidráulico faz avião da Azul retornar a Viracopos; ouça áudio de piloto
11 de julho de 2026
7 protagonistas mais marcantes dos jogos de Pokémon
11 de julho de 2026
Licenciamento 2026: prazo começa a vencer em julho; veja calendário completo
11 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Malware escondido nos pixels de imagens foi disseminado via NPM

por SampaNews 23 de fevereiro de 2026
23 de fevereiro de 2026
57

Pesquisadores de segurança da VeraCode identificaram um pacote malicioso publicado no NPM, o maior repositório de código aberto do mundo, capaz de comprometer silenciosamente máquinas Windows no momento em que era instalado. 

O pacote, chamado buildrunner-dev, disfarçava-se de variante de uma ferramenta legítima abandonada e desencadeava, sem qualquer interação adicional da vítima, uma cadeia de ataque de dez etapas que terminava com um trojan de acesso remoto instalado e operante.

smart_display

Nossos vídeos em destaque

O nome não foi escolhido ao acaso. Ele imita os pacotes legítimos buildrunner e build-runner, ambos abandonados pelos seus criadores originais. Um desenvolvedor pesquisando por uma solução de automação de builds, o processo automatizado de compilar e testar código-fonte, poderia facilmente confundir o pacote falso com uma versão mantida do original.

Armadilha no momento da instalação

Dentro do pacote havia um arquivo de configuração com um postinstall hook, um comando executado automaticamente assim que a instalação termina. Não é preciso abrir nenhum arquivo, não é preciso executar nenhum programa. O simples ato de digitar npm install buildrunner-dev já ativava o ataque.

Antes de agir, o script verificava se estava sendo analisado, checava o sistema operacional, a presença de ferramentas de análise e o tipo de ambiente. Qualquer sinal de monitoramento, e ele simplesmente não fazia nada. 

Confirmado o ambiente favorável, baixava um arquivo de comandos do Windows e o gravava na pasta de inicialização do sistema da vítima, tudo que está nessa pasta é executado automaticamente a cada login, garantindo a permanência do malware.

Mais de mil linhas, só 20 importavam

O arquivo baixado tinha 1.653 linhas, mas apenas 21 faziam algo realmente malicioso. Todo o resto era ruído, uma estratégia chamada ofuscação, que esconde o perigo por trás de complexidade artificial.

O autor empilhou sete técnicas. A primeira explorava uma peculiaridade do Windows: variáveis inexistentes simplesmente desaparecem do texto ao rodar, disfarçando cada comando real. Na segunda, o comando malicioso foi picotado em 909 fragmentos de poucos caracteres cada, a palavra “powershell” nunca aparecia inteira no arquivo. 

Completavam o quadro comentários com palavras aleatórias para inflar o tamanho do arquivo, listas de vocabulário codificadas, strings de milhares de caracteres inválidos e nomes sem sentido para cada variável. 

A camada mais elaborada eram 51 variáveis com código que, ao ser decodificado, resultava em comandos completamente inofensivos — nunca executados, existindo apenas para acionar alertas falsos em ferramentas de segurança e mandar analistas investigar pistas que não levavam a lugar nenhum.

Escalada Silenciosa de Privilégios

Removida a ofuscação, o script verificava se estava rodando como administrador. Caso não tivesse privilégios, usava uma técnica conhecida como UAC bypass: o UAC é o mecanismo do Windows que exibe a janela de confirmação quando um programa tenta alterar o sistema. 

O ataque sequestrava um programa legítimo que tem permissão para se elevar automaticamente sem mostrar esse aviso, fazendo o malware herdar essa permissão.

Nenhuma janela aparecia na tela da vítima. Em seguida, o script executava um comando PowerShell, a ferramenta de automação nativa do Windows, de forma completamente oculta.

PowerShell conhecia seu inimigo

A primeira coisa que esse comando fazia era consultar o próprio Windows para descobrir qual antivírus estava instalado. 

Com a resposta, tomava caminhos diferentes. Se o antivírus fosse ESET, ele interrompia a execução; com Malwarebytes ou F-Secure, baixava uma imagem com um script para desativar as defesas antes de prosseguir; em qualquer outro caso, baixava uma imagem maior com o carregador principal. 

Esse nível de personalização indica que o atacante testou o malware contra cada produto individualmente.

Malware escondido em pixels

As imagens baixadas de um serviço gratuito de hospedagem pareciam apenas ruído visual. Mas cada pixel carregava dados, usando uma técnica chamada esteganografia, a arte de esconder informações dentro de dados aparentemente inocentes.

Diferente da criptografia, que embaralha os dados até ficarem irreconhecíveis, a esteganografia os esconde à vista de todos.

Cada pixel de uma imagem PNG é definido por três valores de cor. No esquema dos atacantes, esses valores carregavam bytes do código malicioso real, pixel por pixel, linha por linha. Sem conhecer o algoritmo, ninguém veria nada de errado, já que serviços de hospedagem não escaneiam pixels em busca de código, e firewalls registram apenas uma requisição normal a um site de imagens.

A imagem menor escondia um script para desativar o AMSI, a interface do Windows criada para que antivírus interceptem scripts executados em memória antes que rodem. 

O script sobrescrevia a função responsável pelo escaneamento com instruções que a faziam retornar erro sem verificar nada, o AMSI passava a funcionar como um detector de incêndio com a bateria removida.

A imagem maior continha o carregador principal, cujo propósito era injetar o payload final num processo legítimo do Windows. A técnica, chamada esvaziamento de processo, criava o conhost.exe em estado suspenso, removia seu código da memória e escrevia o código malicioso no espaço vazio. 

Quando o processo era retomado, o atacante rodava dentro de algo que, para o sistema operacional, parecia completamente legítimo.

Para garantir que as defesas do Windows permanecessem desativadas, o carregador executava três métodos diferentes de neutralização do AMSI em sequência, se um falhasse, o próximo assumia, e nunca chamava funções sensíveis do sistema de forma direta, evitando deixar rastros nas tabelas que analistas inspecionam.

O payload final

Ao fim de toda a cadeia, extraído de uma terceira imagem e descriptografado, estava o Pulsar, um Trojan de Acesso Remoto que dá ao atacante controle total e silencioso sobre o computador infectado. Com ele, é possível ver a tela em tempo real, gravar teclas digitadas, acessar arquivos, ligar câmera e microfone, tudo sem que a vítima perceba.

Os padrões reconhecidos durante a investigação, incluindo o serviço de hospedagem de imagens, a esteganografia, o mesmo RAT, levaram os pesquisadores da VeraCode a uma conclusão: o mesmo grupo havia sido reportado meses antes em uma campanha diferente. 

A atribuição sugere uma operação continuada, com o grupo evoluindo suas técnicas enquanto mantém a infraestrutura preferida.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Começa vacinação contra a dengue no Rio de Janeiro
próxima postagem
Jeep Commander é vendido a preço de Tiggo 8 Pro com desconto de R$ 30.800

Você também pode gostar

Xbox Game Pass recebe Gears of War e...

11 de julho de 2026

7 protagonistas mais marcantes dos jogos de Pokémon

11 de julho de 2026

Por onde anda Josh Hutcherson, o Peeta de...

11 de julho de 2026

Trend de Meccha Chameleon desafia usuários a encontrar...

11 de julho de 2026

POSTS MAIS RECENTES

  • Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)
  • Falha em sistema hidráulico faz avião da Azul retornar a Viracopos; ouça áudio de piloto
  • 7 protagonistas mais marcantes dos jogos de Pokémon
  • Licenciamento 2026: prazo começa a vencer em julho; veja calendário completo
  • Interrupções de energia por causa de pipas aumentam na região de Campinas

Siga-nos

  • Recente
  • Popular
  • Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)

    11 de julho de 2026
  • Falha em sistema hidráulico faz avião da Azul retornar a Viracopos; ouça áudio de piloto

    11 de julho de 2026
  • 7 protagonistas mais marcantes dos jogos de Pokémon

    11 de julho de 2026
  • Licenciamento 2026: prazo começa a vencer em julho; veja calendário completo

    11 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Brasileiro Guto Miguel é campeão de duplas em...

11 de julho de 2026

Por onde anda Josh Hutcherson, o Peeta de...

11 de julho de 2026

Homem tenta escapar da ROM e acaba preso...

11 de julho de 2026

147 chassi 0000001: por onde anda o primeiro...

11 de julho de 2026

Defesa Animal promove 14ª Feirinha de Adoção 2026...

11 de julho de 2026

Leitura obrigatória

  • Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)

    11 de julho de 2026
  • Falha em sistema hidráulico faz avião da Azul retornar a Viracopos; ouça áudio de piloto

    11 de julho de 2026
  • 7 protagonistas mais marcantes dos jogos de Pokémon

    11 de julho de 2026
  • Licenciamento 2026: prazo começa a vencer em julho; veja calendário completo

    11 de julho de 2026
  • Interrupções de energia por causa de pipas aumentam na região de Campinas

    11 de julho de 2026

Newsletter

Posts relacionados

  • Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)

    11 de julho de 2026
  • 7 protagonistas mais marcantes dos jogos de Pokémon

    11 de julho de 2026
  • Por onde anda Josh Hutcherson, o Peeta de Jogos Vorazes?

    11 de julho de 2026
  • Trend de Meccha Chameleon desafia usuários a encontrar personagens escondidos

    11 de julho de 2026
  • 8 desenhos parecidos com Rick and Morty para assistir

    11 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

94% dos reajustes salariais ficam acima da inflação em janeiro, mostra Dieese
19 de fevereiro de 2026
Presidenciáveis da direita sobem tom contra Moraes por barrar Lei da Dosimetria
11 de maio de 2026
Volta da Venezuela ao Mercosul deve ser rediscutida, diz Alckmin
23 de abril de 2026

Categorias Populares

  • Tecnologia (6.104)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.120)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.140)
  • Bragança Paulista (1.119)
  • Esporte (813)
  • Saúde (501)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home