近日,微软发布了一篇安全博文,揭示了Node.js平台正成为网络犯罪分子传播恶意软件的新渠道。自2024年10月以来,微软检测到多起针对其客户的攻击事件,其中部分活动甚至延续到了2025年4月。
Node.js,作为一个开源的跨平台运行环境,允许开发者在浏览器外部执行Javascript代码。这一特性虽然为开发者带来了极大的便利,但同时也为不法分子提供了攻击的机会。他们利用Node.js的灵活性,巧妙地隐藏恶意软件,从而绕过了传统的安全防御措施。
微软在博文中详细描述了一起攻击案例。犯罪分子通过加密货币相关的恶意广告诱导用户下载看似合法的安装程序,这些程序实则来自TradingView或Binance等平台的伪装文件。一旦用户运行这些安装程序,便会触发内置的恶意DLL文件,收集系统基本信息。
随后,一个PowerShell脚本会悄无声息地下载Node.js二进制文件和一个Java脚本,并通过Node.js执行。这个Java脚本功能强大,能够加载多个模块、向设备添加证书,并窃取浏览器中的敏感信息。微软警告称,这些行为往往是后续凭据窃取、规避检测或执行二次负载等恶意活动的先兆。
在另一个攻击案例中,黑客采用了更为狡猾的ClickFix社交工程技术。他们试图欺骗受害者执行一个看似无害的PowerShell命令,但该命令实际上会触发一系列组件的下载和执行,包括Node.js二进制文件。这样,Java代码便无需通过文件执行,而是直接在命令行中运行,大大提高了攻击的隐蔽性和效率。
微软强调,尽管Python、PHP和AutoIT等传统脚本语言仍然在网络威胁活动中占据重要地位,但威胁行为者正逐渐转向编译后的Java代码,甚至直接利用Node.js在命令行中运行脚本。这种转变表明,尽管Node.js相关的恶意软件在数量上并不突出,但它正迅速融入不断变化的网络威胁环境中。
微软在博文中还提到,这些攻击行为不仅技术复杂,而且战术多变。威胁行为者不断尝试新的攻击手段,以绕过现有的安全防御措施。因此,企业和个人用户需要保持高度警惕,及时更新安全软件,加强网络安全防护。
同时,微软也呼吁开发者在使用Node.js等开源平台时,要特别注意安全性。开发者应该加强对代码的安全审计,及时发现并修复潜在的安全漏洞,以防止被不法分子利用。
