近日，微軟發(fā)布了一篇安全博文，揭示了Node.js平臺(tái)正成為網(wǎng)絡(luò)犯罪分子傳播惡意軟件的新渠道。自2024年10月以來(lái)，微軟檢測(cè)到多起針對(duì)其客戶的攻擊事件，其中部分活動(dòng)甚至延續(xù)到了2025年4月。

Node.js，作為一個(gè)開(kāi)源的跨平臺(tái)運(yùn)行環(huán)境，允許開(kāi)發(fā)者在瀏覽器外部執(zhí)行Javascript代碼。這一特性雖然為開(kāi)發(fā)者帶來(lái)了極大的便利，但同時(shí)也為不法分子提供了攻擊的機(jī)會(huì)。他們利用Node.js的靈活性，巧妙地隱藏惡意軟件，從而繞過(guò)了傳統(tǒng)的安全防御措施。

微軟在博文中詳細(xì)描述了一起攻擊案例。犯罪分子通過(guò)加密貨幣相關(guān)的惡意廣告誘導(dǎo)用戶下載看似合法的安裝程序，這些程序?qū)崉t來(lái)自TradingView或Binance等平臺(tái)的偽裝文件。一旦用戶運(yùn)行這些安裝程序，便會(huì)觸發(fā)內(nèi)置的惡意DLL文件，收集系統(tǒng)基本信息。

隨后，一個(gè)PowerShell腳本會(huì)悄無(wú)聲息地下載Node.js二進(jìn)制文件和一個(gè)Java腳本，并通過(guò)Node.js執(zhí)行。這個(gè)Java腳本功能強(qiáng)大，能夠加載多個(gè)模塊、向設(shè)備添加證書(shū)，并竊取瀏覽器中的敏感信息。微軟警告稱，這些行為往往是后續(xù)憑據(jù)竊取、規(guī)避檢測(cè)或執(zhí)行二次負(fù)載等惡意活動(dòng)的先兆。

在另一個(gè)攻擊案例中，黑客采用了更為狡猾的ClickFix社交工程技術(shù)。他們?cè)噲D欺騙受害者執(zhí)行一個(gè)看似無(wú)害的PowerShell命令，但該命令實(shí)際上會(huì)觸發(fā)一系列組件的下載和執(zhí)行，包括Node.js二進(jìn)制文件。這樣，Java代碼便無(wú)需通過(guò)文件執(zhí)行，而是直接在命令行中運(yùn)行，大大提高了攻擊的隱蔽性和效率。

微軟強(qiáng)調(diào)，盡管Python、PHP和AutoIT等傳統(tǒng)腳本語(yǔ)言仍然在網(wǎng)絡(luò)威脅活動(dòng)中占據(jù)重要地位，但威脅行為者正逐漸轉(zhuǎn)向編譯后的Java代碼，甚至直接利用Node.js在命令行中運(yùn)行腳本。這種轉(zhuǎn)變表明，盡管Node.js相關(guān)的惡意軟件在數(shù)量上并不突出，但它正迅速融入不斷變化的網(wǎng)絡(luò)威脅環(huán)境中。

微軟在博文中還提到，這些攻擊行為不僅技術(shù)復(fù)雜，而且戰(zhàn)術(shù)多變。威脅行為者不斷嘗試新的攻擊手段，以繞過(guò)現(xiàn)有的安全防御措施。因此，企業(yè)和個(gè)人用戶需要保持高度警惕，及時(shí)更新安全軟件，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。

同時(shí)，微軟也呼吁開(kāi)發(fā)者在使用Node.js等開(kāi)源平臺(tái)時(shí)，要特別注意安全性。開(kāi)發(fā)者應(yīng)該加強(qiáng)對(duì)代碼的安全審計(jì)，及時(shí)發(fā)現(xiàn)并修復(fù)潛在的安全漏洞，以防止被不法分子利用。