node.js恶意广告活动目标加密用户
Microsoft警告使用Node.js进行恶意广告活动,以通过Beathance和TradingView(例如Binance and TradingView)通过假加密交易网站提供信息窃取恶意软件。自2024年10月以来,微软观察到Node.js越来越多地用于恶意软件活动,其中包括截至2025年4月的持续以加密为主题的恶意广告攻击。威胁参与者越来越多地使用Node.js部署恶意软件,从传统[…]
来源:Security Affairs _恶意软件node.js恶意广告活动目标加密用户
Microsoft警告使用Node.js进行恶意广告活动,以通过Beathance和TradingView(例如Binance and TradingView)通过假加密交易网站提供信息窃取恶意软件。
Microsoft观察到自2024年10月以来越来越多地用于恶意软件活动中的Node.js,其中包括截至2025年4月的持续以加密为主题的恶意攻击。
威胁参与者越来越多地使用node.js来部署恶意软件,从python或php等传统脚本转移。 Node.js允许攻击者将恶意代码与合法的应用程序,绕过安全工具并持续使用系统。 node.js是一个开源的,跨平台的JavaScript运行时环境,允许JavaScript代码在Web浏览器之外运行。尽管今天不那么普遍,但基于Node.js的威胁正在成为不断发展的攻击格局的显着一部分。
在4月Node.js攻击中,威胁参与者使用恶意转换来吸引用户伪造的恶意安装程序,该网站伪装成合法的软件。执行后,安装程序将删除通过WMI收集系统数据的恶意DLL(“ Customactions.dll”),确保通过计划的任务确保持久性,并使用PowerShell命令进行防御逃避和进一步的有效负载交付。
然后DLL通过打开一个MSEDGE_PROXY窗口来启动诱饵,该窗口显示合法的加密货币交易网站。
msEdge_proxy“创建的计划任务运行的PowerShell命令旨在将PowerShell进程和当前目录排除在Microsoft Defender扫描端点。”阅读Microsoft发布的报告。 “此操作阻止随后的Powershell执行被标记,从而使攻击继续不受干扰。”
报告此攻击使用混淆的PowerShell脚本从远程URL获取代码,收集详细的系统和BIOS信息,将其包装为JSON,然后将其发送到攻击者的C2服务器。
Microsoft还提供了一组建议,以减轻与Node.js滥用相关的威胁。
@securityaffairs ( -