近期，微軟發(fā)布安全警示，指出Node.js正被不法分子用作傳播惡意軟件的新工具，這一趨勢引發(fā)了網(wǎng)絡(luò)安全領(lǐng)域的廣泛關(guān)注。

據(jù)悉，自2024年10月起，微軟便持續(xù)監(jiān)測到一系列針對其客戶的網(wǎng)絡(luò)攻擊活動，部分攻擊甚至延續(xù)到了2025年4月。在這些攻擊中，Node.js扮演了關(guān)鍵角色。Node.js作為一個開源的跨平臺運行環(huán)境，原本旨在讓開發(fā)者能夠在瀏覽器之外運行Javascript代碼，但這一特性卻被網(wǎng)絡(luò)犯罪分子巧妙利用，成為隱藏惡意軟件、繞過傳統(tǒng)安全防御的新手段。

微軟通過實例詳細闡述了這一新型攻擊方式。犯罪分子通過發(fā)布與加密貨幣相關(guān)的惡意廣告，誘導(dǎo)用戶下載看似合法的安裝程序，這些程序?qū)崉t內(nèi)嵌了惡意的DLL文件，用于收集系統(tǒng)信息。隨后，一個精心設(shè)計的PowerShell腳本會下載Node.js的二進制文件和一個Javascript文件，并利用Node.js執(zhí)行該腳本。這個Javascript文件一旦運行，便會執(zhí)行一系列惡意操作，包括加載多個模塊、向設(shè)備添加證書，以及竊取瀏覽器中的敏感信息。

更為嚴重的是，這些惡意行為往往預(yù)示著后續(xù)的憑據(jù)竊取、規(guī)避檢測或執(zhí)行二次負載等更復(fù)雜的攻擊活動。微軟強調(diào)，這些攻擊手段的變化表明，網(wǎng)絡(luò)犯罪分子正在不斷尋求新的技術(shù)突破，以繞過現(xiàn)有的安全防御機制。

在另一案例中，黑客采用了名為ClickFix的社會工程手段，試圖欺騙受害者執(zhí)行惡意的PowerShell命令。一旦命令被執(zhí)行，便會觸發(fā)多個組件的下載與執(zhí)行，其中同樣包括Node.js的二進制文件。這種方式使得Javascript代碼無需通過文件形式，便可直接在命令行中運行，從而大大增強了攻擊的隱蔽性和靈活性。

值得注意的是，盡管Python、PHP和AutoIT等傳統(tǒng)腳本語言在威脅活動中仍然占據(jù)重要地位，但威脅行為者正在逐漸轉(zhuǎn)向編譯后的Javascript，甚至直接利用Node.js在命令行中運行腳本。微軟警告稱，這種技術(shù)、戰(zhàn)術(shù)和程序（TTPs）的變化意味著，盡管與Node.js相關(guān)的惡意軟件數(shù)量目前并不突出，但其正迅速融入不斷變化的網(wǎng)絡(luò)威脅格局之中，成為網(wǎng)絡(luò)安全領(lǐng)域的新挑戰(zhàn)。