资安平台Socket研究人员发现一个伪装成以太坊智慧合约漏洞侦测工具的NPM套件，实际上暗藏了远端存取木马Quasar RAT。Quasar RAT是一个功能强大的远端控制工具，一旦入侵成功，攻击者便可远端操控受感染的电脑，窃取机密资料、监控使用者行为，甚至完全掌控受害者的系统，对开发者造成资料外洩和经济损失。

Socket研究人员发现NPM平台上名为ethereumvulncontracthandler的套件，表面上宣称能协助开发者找出智慧合约中的潜在漏洞，不过在开发者不慎安装此套件之后，恶意程序码便会在开发者的电脑上执行，进而植入Quasar RAT。

Quasar RAT远端存取木马已在网路和APT攻击中被使用接近十年，其功能不仅限于远端控制，还包括键盘侧录、萤幕截图、凭证窃取和文件窃取等。对个别开发者和大型组织而言，Quasar RAT的入侵可能造成严重后果。尤其是以太坊开发者，更有可能因此暴露与巨额资产相关的私钥和凭证，而且当开发系统遭到Quasar RAT入侵，还可能成为企业遭受攻击的入口。

资安研究人员指出，ethereumvulncontracthandler套件运用了多层次的混淆技术来隐藏恶意程序码，增加侦测的难度。这个恶意套件不仅会从远端服务器下载并执行额外的恶意脚本，还会修改Windows系统的登录档，以确保在电脑重新启动后仍然可以持续运作。Quasar RAT在成功植入后，攻击者便会透过特定的命令与控制（C2）服务器与受感染的电脑进行通讯，执行各种恶意行为。

资安研究人员提醒，开发者在专案使用任何第三方套件时，都应保持警觉，仔细检查套件的来源和可信度，尤其是声称具有进阶功能或来自相对陌生作者的程序码。另外，监控网路流量并调查异常的文件修改，也能及早侦测到系统中的恶意行为。