近期，微軟發(fā)布安全警示，指出Node.js正被不法分子用作傳播惡意軟件的新工具，這一趨勢引發(fā)了網(wǎng)絡(luò)安全領(lǐng)域的廣泛關(guān)注。

據(jù)悉，自2024年10月起，微軟便持續(xù)監(jiān)測到一系列針對其客戶的網(wǎng)絡(luò)攻擊活動，部分攻擊甚至延續(xù)到了2025年4月。在這些攻擊中，Node.js扮演了關(guān)鍵角色。Node.js作為一個(gè)開源的跨平臺運(yùn)行環(huán)境，原本旨在讓開發(fā)者能夠在瀏覽器之外運(yùn)行Javascript代碼，但這一特性卻被網(wǎng)絡(luò)犯罪分子巧妙利用，成為隱藏惡意軟件、繞過傳統(tǒng)安全防御的新手段。

微軟通過實(shí)例詳細(xì)闡述了這一新型攻擊方式。犯罪分子通過發(fā)布與加密貨幣相關(guān)的惡意廣告，誘導(dǎo)用戶下載看似合法的安裝程序，這些程序?qū)崉t內(nèi)嵌了惡意的DLL文件，用于收集系統(tǒng)信息。隨后，一個(gè)精心設(shè)計(jì)的PowerShell腳本會下載Node.js的二進(jìn)制文件和一個(gè)Javascript文件，并利用Node.js執(zhí)行該腳本。這個(gè)Javascript文件一旦運(yùn)行，便會執(zhí)行一系列惡意操作，包括加載多個(gè)模塊、向設(shè)備添加證書，以及竊取瀏覽器中的敏感信息。

更為嚴(yán)重的是，這些惡意行為往往預(yù)示著后續(xù)的憑據(jù)竊取、規(guī)避檢測或執(zhí)行二次負(fù)載等更復(fù)雜的攻擊活動。微軟強(qiáng)調(diào)，這些攻擊手段的變化表明，網(wǎng)絡(luò)犯罪分子正在不斷尋求新的技術(shù)突破，以繞過現(xiàn)有的安全防御機(jī)制。

在另一案例中，黑客采用了名為ClickFix的社會工程手段，試圖欺騙受害者執(zhí)行惡意的PowerShell命令。一旦命令被執(zhí)行，便會觸發(fā)多個(gè)組件的下載與執(zhí)行，其中同樣包括Node.js的二進(jìn)制文件。這種方式使得Javascript代碼無需通過文件形式，便可直接在命令行中運(yùn)行，從而大大增強(qiáng)了攻擊的隱蔽性和靈活性。

值得注意的是，盡管Python、PHP和AutoIT等傳統(tǒng)腳本語言在威脅活動中仍然占據(jù)重要地位，但威脅行為者正在逐漸轉(zhuǎn)向編譯后的Javascript，甚至直接利用Node.js在命令行中運(yùn)行腳本。微軟警告稱，這種技術(shù)、戰(zhàn)術(shù)和程序（TTPs）的變化意味著，盡管與Node.js相關(guān)的惡意軟件數(shù)量目前并不突出，但其正迅速融入不斷變化的網(wǎng)絡(luò)威脅格局之中，成為網(wǎng)絡(luò)安全領(lǐng)域的新挑戰(zhàn)。