近日，微軟發(fā)布了一篇安全博文，揭示了Node.js平臺正成為網(wǎng)絡(luò)犯罪分子傳播惡意軟件的新渠道。自2024年10月以來，微軟檢測到多起針對其客戶的攻擊事件，其中部分活動甚至延續(xù)到了2025年4月。

Node.js，作為一個開源的跨平臺運行環(huán)境，允許開發(fā)者在瀏覽器外部執(zhí)行Javascript代碼。這一特性雖然為開發(fā)者帶來了極大的便利，但同時也為不法分子提供了攻擊的機會。他們利用Node.js的靈活性，巧妙地隱藏惡意軟件，從而繞過了傳統(tǒng)的安全防御措施。

微軟在博文中詳細(xì)描述了一起攻擊案例。犯罪分子通過加密貨幣相關(guān)的惡意廣告誘導(dǎo)用戶下載看似合法的安裝程序，這些程序?qū)崉t來自TradingView或Binance等平臺的偽裝文件。一旦用戶運行這些安裝程序，便會觸發(fā)內(nèi)置的惡意DLL文件，收集系統(tǒng)基本信息。

隨后，一個PowerShell腳本會悄無聲息地下載Node.js二進(jìn)制文件和一個Java腳本，并通過Node.js執(zhí)行。這個Java腳本功能強大，能夠加載多個模塊、向設(shè)備添加證書，并竊取瀏覽器中的敏感信息。微軟警告稱，這些行為往往是后續(xù)憑據(jù)竊取、規(guī)避檢測或執(zhí)行二次負(fù)載等惡意活動的先兆。

在另一個攻擊案例中，黑客采用了更為狡猾的ClickFix社交工程技術(shù)。他們試圖欺騙受害者執(zhí)行一個看似無害的PowerShell命令，但該命令實際上會觸發(fā)一系列組件的下載和執(zhí)行，包括Node.js二進(jìn)制文件。這樣，Java代碼便無需通過文件執(zhí)行，而是直接在命令行中運行，大大提高了攻擊的隱蔽性和效率。

微軟強調(diào)，盡管Python、PHP和AutoIT等傳統(tǒng)腳本語言仍然在網(wǎng)絡(luò)威脅活動中占據(jù)重要地位，但威脅行為者正逐漸轉(zhuǎn)向編譯后的Java代碼，甚至直接利用Node.js在命令行中運行腳本。這種轉(zhuǎn)變表明，盡管Node.js相關(guān)的惡意軟件在數(shù)量上并不突出，但它正迅速融入不斷變化的網(wǎng)絡(luò)威脅環(huán)境中。

微軟在博文中還提到，這些攻擊行為不僅技術(shù)復(fù)雜，而且戰(zhàn)術(shù)多變。威脅行為者不斷嘗試新的攻擊手段，以繞過現(xiàn)有的安全防御措施。因此，企業(yè)和個人用戶需要保持高度警惕，及時更新安全軟件，加強網(wǎng)絡(luò)安全防護。

同時，微軟也呼吁開發(fā)者在使用Node.js等開源平臺時，要特別注意安全性。開發(fā)者應(yīng)該加強對代碼的安全審計，及時發(fā)現(xiàn)并修復(fù)潛在的安全漏洞，以防止被不法分子利用。