近期,微软发布安全警示,指出Node.js正被不法分子用作传播恶意软件的新工具,这一趋势引发了网络安全领域的广泛关注。
据悉,自2024年10月起,微软便持续监测到一系列针对其客户的网络攻击活动,部分攻击甚至延续到了2025年4月。在这些攻击中,Node.js扮演了关键角色。Node.js作为一个开源的跨平台运行环境,原本旨在让开发者能够在浏览器之外运行Javascript代码,但这一特性却被网络犯罪分子巧妙利用,成为隐藏恶意软件、绕过传统安全防御的新手段。
微软通过实例详细阐述了这一新型攻击方式。犯罪分子通过发布与加密货币相关的恶意广告,诱导用户下载看似合法的安装程序,这些程序实则内嵌了恶意的DLL文件,用于收集系统信息。随后,一个精心设计的PowerShell脚本会下载Node.js的二进制文件和一个Javascript文件,并利用Node.js执行该脚本。这个Javascript文件一旦运行,便会执行一系列恶意操作,包括加载多个模块、向设备添加证书,以及窃取浏览器中的敏感信息。
更为严重的是,这些恶意行为往往预示着后续的凭据窃取、规避检测或执行二次负载等更复杂的攻击活动。微软强调,这些攻击手段的变化表明,网络犯罪分子正在不断寻求新的技术突破,以绕过现有的安全防御机制。
在另一案例中,黑客采用了名为ClickFix的社会工程手段,试图欺骗受害者执行恶意的PowerShell命令。一旦命令被执行,便会触发多个组件的下载与执行,其中同样包括Node.js的二进制文件。这种方式使得Javascript代码无需通过文件形式,便可直接在命令行中运行,从而大大增强了攻击的隐蔽性和灵活性。
值得注意的是,尽管Python、PHP和AutoIT等传统脚本语言在威胁活动中仍然占据重要地位,但威胁行为者正在逐渐转向编译后的Javascript,甚至直接利用Node.js在命令行中运行脚本。微软警告称,这种技术、战术和程序(TTPs)的变化意味着,尽管与Node.js相关的恶意软件数量目前并不突出,但其正迅速融入不断变化的网络威胁格局之中,成为网络安全领域的新挑战。
