Microsoft: Node.js все частіше використовується для розповсюдження шкідливих програм і крадіжки даних

Microsoft попереджає про сплеск кібератак з використанням Node.js для розповсюдження зловмисного програмного забезпечення та викрадення конфіденційної інформації. 

З жовтня 2024 року команда Microsoft Defender спостерігала за кількома кампаніями з використанням Node.js для уникнення виявлення та збереження в скомпрометованих середовищах. Як правило, Node.js застосовують в кампаніях зловмисної реклами на тему криптовалют, а також у схемах соціальної інженерії на основі фішингу.

Node.js, середовище виконання JavaScript з відкритим вихідним кодом, яке широко використовується розробниками для серверних і настільних програм, дозволяє виконувати код поза браузером. Пакуючи зловмисне програмне забезпечення у скомпільовані файли JavaScript і виконуючи сценарії безпосередньо за допомогою node.exe, зловмисники обходять механізми безпеки, які зазвичай позначають підозрілі сценарії або виконувані файли.

Активна кампанія, описана у звіті Microsoft, використовує шкідливу рекламу, щоб заманити користувачів на фейкові веб-сайти, які імітують платформи для торгівлі криптовалютою, такі як Binance або TradingView. Відвідувачам пропонується завантажити зловмисний інсталятор, створений за допомогою Wix, в який вбудована бібліотека CustomActions.dll. Після виконання вона збирає системні дані через Windows Management Instrumentation (WMI) і встановлює заплановане завдання для запуску обфускованих команд PowerShell.

Ці завдання PowerShell змінюють параметри Microsoft Defender for Endpoint, виключаючи певні процеси та папки зі сканувань, щоб уникнути виявлення. Потім сценарій завантажує подальші корисні дані з командно-контрольних (C2) серверів, збираючи обширні системні метадані — починаючи від деталей BIOS і ОС і закінчуючи мережевими адаптерами та інформацією про користувачів — і фільтруючи їх за допомогою запитів HTTP POST.

Ланцюг атаки продовжується корисним навантаженням другого етапу, яке включає середовище виконання Node.js (node.exe), скомпільований файл JavaScript (JSC) і додаткові бібліотеки. Після виконання сценарій JSC ініціює наступні дії, такі як підключення до мережі, викрадення облікових даних, маніпулювання сертифікатами та вилучення даних браузера, що свідчить про потенціал багатоетапної атаки та довгострокові цілі стійкості.

Щоб захиститися від цих нових загроз, у Microsoft радять:

• Відстежуйте використання Node.js і встановлюйте сповіщення про неавторизоване виконання node.exe.
• Покращте логування PowerShell і ввімкніть логування блоків сценаріїв, модулів і транскрипцій, щоб виявити обфусковані сценарії.
• Обмежуйте джерела програмного забезпечення лише офіційними та перевіреними сайтами.
• Застосуйте правила брандмауера, щоб блокувати вихідний трафік до підозрілих або невідомих доменів. Використовуйте рішення EDR/XDR у режимі блокування для виявлення активності після злому.

Крім того, Microsoft радить увімкнути захист від несанкціонованого доступу, увімкнути хмарний антивірусний захист і за можливості застосувати політики виконання сценаріїв.