近日,微軟發布了一篇安全博文,揭示了Node.js平臺正成為網絡犯罪分子傳播惡意軟件的新渠道。自2024年10月以來,微軟檢測到多起針對其客戶的攻擊事件,其中部分活動甚至延續到了2025年4月。
Node.js,作為一個開源的跨平臺運行環境,允許開發者在瀏覽器外部執行Javascript代碼。這一特性雖然為開發者帶來了極大的便利,但同時也為不法分子提供了攻擊的機會。他們利用Node.js的靈活性,巧妙地隱藏惡意軟件,從而繞過了傳統的安全防御措施。
微軟在博文中詳細描述了一起攻擊案例。犯罪分子通過加密貨幣相關的惡意廣告誘導用戶下載看似合法的安裝程序,這些程序實則來自TradingView或Binance等平臺的偽裝文件。一旦用戶運行這些安裝程序,便會觸發內置的惡意DLL文件,收集系統基本信息。
隨后,一個PowerShell腳本會悄無聲息地下載Node.js二進制文件和一個Java腳本,并通過Node.js執行。這個Java腳本功能強大,能夠加載多個模塊、向設備添加證書,并竊取瀏覽器中的敏感信息。微軟警告稱,這些行為往往是后續憑據竊取、規避檢測或執行二次負載等惡意活動的先兆。
在另一個攻擊案例中,黑客采用了更為狡猾的ClickFix社交工程技術。他們試圖欺騙受害者執行一個看似無害的PowerShell命令,但該命令實際上會觸發一系列組件的下載和執行,包括Node.js二進制文件。這樣,Java代碼便無需通過文件執行,而是直接在命令行中運行,大大提高了攻擊的隱蔽性和效率。
微軟強調,盡管Python、PHP和AutoIT等傳統腳本語言仍然在網絡威脅活動中占據重要地位,但威脅行為者正逐漸轉向編譯后的Java代碼,甚至直接利用Node.js在命令行中運行腳本。這種轉變表明,盡管Node.js相關的惡意軟件在數量上并不突出,但它正迅速融入不斷變化的網絡威脅環境中。
微軟在博文中還提到,這些攻擊行為不僅技術復雜,而且戰術多變。威脅行為者不斷嘗試新的攻擊手段,以繞過現有的安全防御措施。因此,企業和個人用戶需要保持高度警惕,及時更新安全軟件,加強網絡安全防護。
同時,微軟也呼吁開發者在使用Node.js等開源平臺時,要特別注意安全性。開發者應該加強對代碼的安全審計,及時發現并修復潛在的安全漏洞,以防止被不法分子利用。
