Node.js成黑客新宠？微软提醒警惕其传播恶意软件风险

近期，微软发布安全警示，指出Node.js正被不法分子用作传播恶意软件的新工具，这一趋势引发了网络安全领域的广泛关注。

据悉，自2024年10月起，微软便持续监测到一系列针对其客户的网络攻击活动，部分攻击甚至延续到了2025年4月。在这些攻击中，Node.js扮演了关键角色。Node.js作为一个开源的跨平台运行环境，原本旨在让开发者能够在浏览器之外运行Javascript代码，但这一特性却被网络犯罪分子巧妙利用，成为隐藏恶意软件、绕过传统安全防御的新手段。

微软通过实例详细阐述了这一新型攻击方式。犯罪分子通过发布与加密货币相关的恶意广告，诱导用户下载看似合法的安装程序，这些程序实则内嵌了恶意的DLL文件，用于收集系统信息。随后，一个精心设计的PowerShell脚本会下载Node.js的二进制文件和一个Javascript文件，并利用Node.js执行该脚本。这个Javascript文件一旦运行，便会执行一系列恶意操作，包括加载多个模块、向设备添加证书，以及窃取浏览器中的敏感信息。

更为严重的是，这些恶意行为往往预示着后续的凭据窃取、规避检测或执行二次负载等更复杂的攻击活动。微软强调，这些攻击手段的变化表明，网络犯罪分子正在不断寻求新的技术突破，以绕过现有的安全防御机制。

在另一案例中，黑客采用了名为ClickFix的社会工程手段，试图欺骗受害者执行恶意的PowerShell命令。一旦命令被执行，便会触发多个组件的下载与执行，其中同样包括Node.js的二进制文件。这种方式使得Javascript代码无需通过文件形式，便可直接在命令行中运行，从而大大增强了攻击的隐蔽性和灵活性。

值得注意的是，尽管Python、PHP和AutoIT等传统脚本语言在威胁活动中仍然占据重要地位，但威胁行为者正在逐渐转向编译后的Javascript，甚至直接利用Node.js在命令行中运行脚本。微软警告称，这种技术、战术和程序（TTPs）的变化意味着，尽管与Node.js相关的恶意软件数量目前并不突出，但其正迅速融入不断变化的网络威胁格局之中，成为网络安全领域的新挑战。