微軟警告：Node.js 開源運行環(huán)境成惡意軟件新溫床

IT之家 4 月 17 日消息，微軟于 4 月 15 日發(fā)布博文，指出 Node.js 正日益被用于傳播惡意軟件和其他惡意負載。自 2024 年 10 月以來，微軟持續(xù)監(jiān)測到針對其客戶的攻擊活動，部分惡意活動甚至延續(xù)至 2025 年 4 月。

IT之家注：Node.js 是一個開源的跨平臺運行環(huán)境，允許開發(fā)者在瀏覽器之外執(zhí)行 JavaScript 代碼。這種特性雖方便開發(fā)者，卻也為網(wǎng)絡(luò)犯罪分子提供了可乘之機。攻擊者利用 Node.js 隱藏惡意軟件，繞過傳統(tǒng)安全防御機制，實施攻擊。

微軟舉例稱，犯罪分子利用與加密貨幣相關(guān)的惡意廣告（malvertising）誘導(dǎo)用戶下載偽裝成來自 TradingView 或 Binance 等平臺的合法文件的惡意安裝程序。

這個安裝程序內(nèi)含惡意 DLL 文件，用于收集基本的系統(tǒng)信息。隨后，一個 PowerShell 腳本會下載 Node.js 二進制文件和一個 JavaScript 文件，并通過 Node.js 執(zhí)行。

該 JavaScript 文件運行一系列程序，包括加載多個模塊、向設(shè)備添加證書，以及竊取瀏覽器中的敏感信息。微軟指出，這些行為可能預(yù)示后續(xù)的憑據(jù)竊取、規(guī)避檢測或二次負載執(zhí)行等惡意活動。

微軟在第二個攻擊實例中表示，黑客采用了 ClickFix 社交工程技術(shù)，試圖欺騙受害者執(zhí)行惡意的 PowerShell 命令。

該命令會啟動多個組件的下載和執(zhí)行，包括 Node.js 二進制文件，讓 JavaScript 代碼無需通過文件執(zhí)行，能夠直接在命令行中運行。

微軟強調(diào)，盡管 Python、PHP 和 AutoIT 等傳統(tǒng)腳本語言仍被廣泛用于威脅活動，但威脅行為者正轉(zhuǎn)向編譯后的 JavaScript，甚至直接利用 Node.js 在命令行中運行腳本，實施惡意行為。

微軟警告，這種威脅行為者技術(shù)、戰(zhàn)術(shù)和程序（TTPs）的轉(zhuǎn)變表明，盡管 Node.js 相關(guān)的惡意軟件數(shù)量上相對其它攻擊手段并不凸顯，但正迅速融入不斷演變的網(wǎng)絡(luò)威脅。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。