Microsoft 发出警告,称存在一场恶意广告活动,该活动利用 Node.js 通过诸如 Binance 和 TradingView 等虚假的加密货币交易网站来传播窃取信息的恶意软件。
自 2024 年 10 月以来,Microsoft 已观察到 Node.js 在恶意软件活动中被越来越多地使用,其中包括截至 2025 年 4 月仍在持续的以加密货币为主题的恶意广告攻击。
威胁行为者正越来越多地使用 Node.js 来部署恶意软件,逐渐从传统的脚本语言(如 Python 或 PHP)转移。Node.js 使攻击者能够将恶意代码与合法应用程序相融合,绕过安全工具,并在系统中持续驻留。Node.js 是一个开源的跨平台 JavaScript 运行时环境,它允许 JavaScript 代码在 Web 浏览器之外运行。尽管如今基于 Node.js 的威胁还不那么常见,但它们正成为不断演变的攻击格局中一个值得关注的部分。
在 4 月的 Node.js 攻击事件中,威胁行为者利用恶意广告将用户引诱至虚假网站,这些网站提供伪装成合法软件的恶意安装程序。一旦安装程序被执行,它就会释放出一个恶意 DLL(“CustomActions.dll”),该 DLL 通过 Windows 管理规范(WMI)收集系统数据,通过计划任务确保恶意软件能够持续运行,并使用 PowerShell 命令来逃避防御机制并进一步传递有效载荷。
然后,该 DLL 会通过打开一个 msedge_proxy 窗口来启动一个诱饵程序,该窗口会显示一个合法的加密货币交易网站。
Microsoft 发布的报告中写道:“所创建的计划任务会运行 PowerShell 命令,这些命令旨在将 PowerShell 进程和当前目录排除在 Microsoft Defender for Endpoint 的扫描范围之外。这一操作可防止后续的 PowerShell 执行被标记,从而使攻击能够不受干扰地继续进行。”
这次攻击使用了经过混淆处理的 PowerShell 脚本,从远程 URL 获取代码,收集详细的系统和基本输入输出系统(BIOS)信息,将其打包为 JSON 格式,然后发送给攻击者的命令与控制(C2)服务器。
在这次攻击的阶段中,一个 PowerShell 脚本会从命令与控制服务器下载一个存档文件,其中包含 Node.js 运行时和一个已编译的 JavaScript 文件。Node.js 可执行文件会运行该脚本,该脚本会建立网络连接,并且很可能会提取敏感的浏览器数据。
研究人员在近期的攻击活动中观察到的另一个值得注意的技术是,通过 Node.js 执行内联 JavaScript 代码来部署恶意有效载荷。在一个有记录的案例中,攻击者使用了 ClickFix 这种社会工程策略,诱骗用户运行一个 PowerShell 命令,该命令会下载并安装 Node.js 组件。然后,该脚本会通过 Node.js 直接执行 JavaScript 代码,从而实现网络侦察,将命令与控制流量伪装成合法的 Cloudflare 活动,并通过修改注册表启动项来实现持续驻留。
Microsoft 还提供了一系列建议,以减轻因 Node.js 被滥用而带来的威胁。
发表评论
您还未登录,请先登录。
登录