Malware-ek és payload-ok terjesztése Node.js kihasználással
2024 októbere óta a Microsoft Defender Experts (DEX) több ügyfelet is megfigyelt és segített olyan kampányok kezelésében, amelyek a Node.js-t kihasználva rosszindulatú szoftvereket és egyéb hasznos terheket juttattak el, amelyek végül információlopáshoz és adatszivárogtatáshoz vezettek. Míg az olyan hagyományos szkriptnyelveket, mint a Python, a PHP és az AutoIT továbbra is széles körben használják a kiberszereplők, most már a lefordított JavaScriptet is használják – vagy akár közvetlenül a parancssorban futtatják a szkripteket a Node.js segítségével – a rosszindulatú tevékenység megkönnyítésére.
A kiberszereplők technikáiban, taktikáiban és eljárásaiban (TTP-k) bekövetkezett változás azt jelezheti, hogy bár a Node.js-hez kapcsolódó rosszindulatú programok még nem annyira elterjedtek, gyorsan elterjedhetnek a folyamatosan fejlődő fenyegetések részeként.
A Node.js egy nyílt forráskódú, platformokon átívelő JavaScript futtatási környezet, amely lehetővé teszi a JavaScript kód futtatását a webböngészőn kívül. A fejlesztők széles körben használják és megbíznak benne, mivel lehetővé teszi számukra frontend és backend alkalmazások készítését. A kiberszereplők azonban ezeket a Node.js jellemzőket is kihasználják, hogy megpróbálják a rosszindulatú szoftvereket legitim alkalmazásokba keverni, megkerülni a hagyományos biztonsági ellenőrzéseket, és fennmaradni a célkörnyezetekben.
A Node.js-t kihasználó legutóbbi támadások közé tartozik egy kriptovaluta-kereskedelemmel kapcsolatos rosszindulatú malvertising kampány, amely megpróbálja a felhasználókat egy törvényes szoftvernek álcázott rosszindulatú telepítő letöltésére csábítani. Az említett kampány 2025 áprilisában még mindig aktív.
A Microsoft által részletezett kampányban a letöltött telepítő egy rosszindulatú DLL-t tartalmaz, amely összegyűjti a rendszerinformációkat, és beállít egy ütemezett feladatot a prezisztencia létrehozása érdekében. Ez megteremti a lehetőséget egyéb tevékenységeihez, mint például a védelem megkerülése, az adatgyűjtés, valamint a hasznos teher átadása és végrehajtása.
A létrehozott ütemezett feladat PowerShell-parancsokat futtat, amelyek célja, hogy mind a PowerShell-folyamat, mind az aktuális könyvtár kivétel legyen a Microsoft Defender for Endpoint által végzett vizsgálatok alól. Ez a művelet megakadályozza, hogy a későbbi PowerShell-futtatásokat flaggelje a védelem, így a támadás zavartalanul folytatódhat.
A kizárások beállításával ezután egy obfuszkált PowerShell parancsot indítanak el ütemezett feladatokon keresztül, hogy folyamatosan lekérjen és futtasson szkripteket távoli URL-címekről. Ezek a szkriptek részletes rendszerinformációkat gyűjtenek, többek között Windows-információk (regisztrált tulajdonos, rendszer root, telepített szoftverek, e-mail címek), BIOS-információk (gyártó, név, kiadás dátuma, verzió), rendszerinformációk (név, tartomány, gyártó, modell, tartománytagság, memória, logikai processzorok, grafikus feldolgozóegységek (GPU-k), processzorok, hálózati adapterek), operációs rendszerinformációk (név, verzió, területi beállítások, felhasználói hozzáférés-vezérlési (UAC) beállítások, ország, nyelv, időzóna, telepítési dátum). Mindezeket az információkat egy egymásba ágyazott hash-táblába strukturálják, JSON formátumba konvertálják, majd HTTP POST segítségével elküldik a támadó C2 szerverére.
