微软警告：Node.js正被用于传播恶意软件

4月17日有消息指出，微软在4月15日发布了一篇博文，提醒用户注意Node.js正逐渐成为传播恶意软件和其他恶意负载的工具。自2024年10月以来，微软一直在持续监测针对其客户的攻击活动，部分攻击甚至延续到了2025年4月。

Node.js是一个开源的跨平台运行环境，允许开发者在浏览器之外运行JavaScript代码。这一特性虽然为开发者提供了便利，但同时也被网络犯罪分子利用来隐藏恶意软件，从而绕过传统的安全防御机制。

微软举例说明，犯罪分子通过与加密货币相关的恶意广告诱导用户下载伪装成合法文件的恶意安装程序，例如冒充来自知名交易平台的文件。这些安装程序内嵌恶意的DLL文件，用于收集系统的相关信息。随后，一个PowerShell脚本会下载Node.js的二进制文件和一个JavaScript文件，并通过Node.js执行该脚本。

这个JavaScript文件运行一系列操作，包括加载多个模块、向设备添加证书，以及窃取浏览器中的敏感信息。微软指出，这些行为可能预示着后续的凭据窃取、规避检测或二次负载执行等恶意活动。

在另一例攻击中，黑客采用了名为ClickFix的社会工程手段，试图诱骗受害者执行恶意的PowerShell命令。这一命令将触发多个组件的下载与执行，其中包括Node.js的二进制文件。这种方式允许JavaScript代码无需通过文件形式即可直接在命令行中运行。

尽管Python、PHP和AutoIT等传统脚本语言仍然广泛应用于威胁活动中，但威胁行为者正在转向编译后的JavaScript，甚至直接利用Node.js在命令行中运行脚本以实施恶意行为。微软警告称，这种技术、战术和程序（TTPs）的变化表明，尽管与Node.js相关的恶意软件数量相较于其他攻击手段并不突出，但其正快速融入不断演变的网络威胁格局之中。