近期,微軟發布安全警示,指出Node.js正被不法分子用作傳播惡意軟件的新工具,這一趨勢引發了網絡安全領域的廣泛關注。
據悉,自2024年10月起,微軟便持續監測到一系列針對其客戶的網絡攻擊活動,部分攻擊甚至延續到了2025年4月。在這些攻擊中,Node.js扮演了關鍵角色。Node.js作為一個開源的跨平臺運行環境,原本旨在讓開發者能夠在瀏覽器之外運行Javascript代碼,但這一特性卻被網絡犯罪分子巧妙利用,成為隱藏惡意軟件、繞過傳統安全防御的新手段。
微軟通過實例詳細闡述了這一新型攻擊方式。犯罪分子通過發布與加密貨幣相關的惡意廣告,誘導用戶下載看似合法的安裝程序,這些程序實則內嵌了惡意的DLL文件,用于收集系統信息。隨后,一個精心設計的PowerShell腳本會下載Node.js的二進制文件和一個Javascript文件,并利用Node.js執行該腳本。這個Javascript文件一旦運行,便會執行一系列惡意操作,包括加載多個模塊、向設備添加證書,以及竊取瀏覽器中的敏感信息。
更為嚴重的是,這些惡意行為往往預示著后續的憑據竊取、規避檢測或執行二次負載等更復雜的攻擊活動。微軟強調,這些攻擊手段的變化表明,網絡犯罪分子正在不斷尋求新的技術突破,以繞過現有的安全防御機制。
在另一案例中,黑客采用了名為ClickFix的社會工程手段,試圖欺騙受害者執行惡意的PowerShell命令。一旦命令被執行,便會觸發多個組件的下載與執行,其中同樣包括Node.js的二進制文件。這種方式使得Javascript代碼無需通過文件形式,便可直接在命令行中運行,從而大大增強了攻擊的隱蔽性和靈活性。
值得注意的是,盡管Python、PHP和AutoIT等傳統腳本語言在威脅活動中仍然占據重要地位,但威脅行為者正在逐漸轉向編譯后的Javascript,甚至直接利用Node.js在命令行中運行腳本。微軟警告稱,這種技術、戰術和程序(TTPs)的變化意味著,盡管與Node.js相關的惡意軟件數量目前并不突出,但其正迅速融入不斷變化的網絡威脅格局之中,成為網絡安全領域的新挑戰。
