Microsoft je u utorak izdao upozorenje zbog sve češće upotrebe Node.js okruženja za distribuciju malvera i drugih malicioznih sadržaja.
Tehnološki gigant navodi da je primijetio ovakve napade usmjerene ka svojim korisnicima još od oktobra 2024. godine, a neke od zabilježenih kampanja i dalje su aktivne u aprilu 2025.
Node.js, kao otvoreno kodno i višesistemsko izvršno okruženje, popularno je među programerima jer omogućava pokretanje JavaScript koda van veb pregledača. Međutim, ova karakteristika privlači i hakere, koji ga mogu iskoristiti za prikrivanje malvera i zaobilaženje bezbjednosnih mehanizama.
U jednoj od kampanja koju je zabilježio Microsoft, sajber kriminalci su koristili reklame vezane za kriptovalute kako bi prevarili korisnike da preuzmu maliciozni instalacioni fajl koji se lažno predstavljao kao legitimna datoteka sa platformi poput TradingView ili Binance.
Instalacioni fajl sadrži malicioznu DLL biblioteku koja se učitava radi prikupljanja osnovnih informacija o sistemu. Nakon toga, PowerShell skripta preuzima Node.js binarni fajl i JavaScript datoteku, koja se zatim izvršava pomoću Node.js okruženja. Izvršavanjem te JavaScript datoteke pokreće se više modula, dodaju se sertifikati na uređaj i prikupljaju se osjetljive informacije iz pregledača.
„Ove rutine mogu ukazivati na naknadne maliciozne aktivnosti, kao što su krađa kredencijala, izbjegavanje detekcije ili izvršavanje sekundarnog malvera, što je česta pojava u drugim kampanjama koje koriste Node.js“, objašnjava Microsoft.
U drugoj kampanji, koja uključuje tehniku socijalnog inženjeringa poznatu kao ClickFix, napadač je pokušao da prevari žrtvu da izvrši malicioznu PowerShell komandu koja bi pokrenula preuzimanje i izvršavanje različitih komponenti, uključujući i Node.js binarni fajl kako bi se omogućilo izvršavanje JavaScript koda direktno iz komandne linije, umjesto iz fajla.
„Iako su tradicionalni skript jezici poput Pythona, PHP-a i AutoIT-a i dalje široko korišćeni, hakeri sada koriste i kompajlirani JavaScript — pa čak i pokreću skripte direktno kroz komandnu liniju uz pomoć Node.js okruženja — kako bi olakšali maliciozne aktivnosti“, navodi Microsoft.
„Ova promjena u tehnikama, taktikama i procedurama hakera može ukazivati na to da, iako malveri zasnovani na Node.js još uvijek nisu rasprostranjeni, oni brzo postaju sastavni dio sve dinamičnijeg pejzaža bezbjednosnih prijetnji“, dodaje Microsoft.
Izvor: SecurityWeek