近期网络安全研究人员在NPM包注册表中发现一个恶意软件包，该软件包伪装成用于识别以太坊智能合约漏洞的工具，但实际上却在开发者的系统上部署了一种称为Quasar RAT的远程访问木马（RAT）。这一恶意包的名称为ethereumvulncontracthandler，于2024年12月18日发布，发布者使用的是别名“solidit-dev-416”。经过深入调查，研究发现该包采用了高度混淆的技术，例如Base64和XOR编码，以逃避检测。在安装后，它会从远程服务器下载一个恶意脚本，该脚本会悄悄地执行并在Windows系统上部署Quasar RAT。

在对该恶意软件的分析中，研究人员指出，首先，初始的NPM包充当了加载器，从远程服务器检索并执行Quasar RAT。一旦执行，恶意脚本会运行隐藏的PowerShell命令并安装Quasar RAT。为保证恶意软件的持久性，它还会修改Windows注册表，以确保在系统重启后继续运行。感染的机器随后与位于captchacdn.com:7000的命令与控制服务器进行通信，这使得威胁演员能够保持控制并潜在地进一步传播感染。

Quasar RAT是一种危险的恶意软件，以其广泛的功能而闻名，包括按键记录、屏幕捕获和凭证窃取，给处理敏感以太坊项目的开发者带来了显著风险。近期，还有针对Roblox开发者的恶意软件活动被发现，其利用NPM包窃取敏感数据并破坏系统，该活动也涉及部署Quasar RAT的载荷。

该事件突显了开发者需要保持警惕，仔细审查来自不明来源的第三方代码，使用工具监控依赖关系以潜在威胁。这种主动识别和减轻恶意包风险的方法能够帮助保护系统，防止恶意演员的入侵。研究人员在博客中警告说：“对个人开发者和大型组织而言，Quasar RAT在可信环境中的存在可能导致灾难性后果。尤其是以太坊开发者面临着暴露与重要金融资产有关的私钥和凭证的风险。”

在一次采访中，Sectigo的资深研究员Jason Soroko评论道：“以太坊智能合约是去中心化应用的基础。这一恶意NPM包伪装成一个漏洞扫描器，但它实际部署Quasar RAT以监视敏感项目、窃取数据并破坏系统。安全团队必须验证未经过审核的代码，监控注册表的变动，以及关注异常的网络活动。”

为了确保软件供应链的安全，专家建议严格审查第三方代码，实施强有力的访问控制，并定期扫描依赖项以发现潜在的威胁。对所有引入项目的第三方代码进行仔细审查，尤其是在声称具有高级功能或来自相对不知名的作者的情况下，是保护开发环境免受恶意攻击的重要步骤。

此外，开发团队应该监测网络流量，以检测异常的外部连接，并调查意外的文件修改。利用可信赖的工具持续评估依赖关系显得尤为重要，集成诸如Socket的GitHub应用程序、CLI工具或浏览器扩展，可以实时检查供应链的完整性，在恶意或可疑组件嵌入之前提前发出警报。通过结合仔细审核、持续监控和专用安全工具的战略使用，开发者和组织可以保持领先地位，从根本上减少恶意软件对其开发环境的威胁。

Quasar RAT的出现将软件供应链的安全问题推到了风口浪尖，开发者在整合第三方工具和库时必须不断考虑潜在的风险和威胁。监控和迅速响应可疑活动至关重要，以保护组织的资产和数据。威胁演员的策略日益复杂，因此，发展持续的安全实践和全面的审查机制是确保防御能力的重要环节。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课