近期，微軟發布安全警示，指出Node.js正被不法分子用作傳播惡意軟件的新工具，這一趨勢引發了網絡安全領域的廣泛關注。

據悉，自2024年10月起，微軟便持續監測到一系列針對其客戶的網絡攻擊活動，部分攻擊甚至延續到了2025年4月。在這些攻擊中，Node.js扮演了關鍵角色。Node.js作為一個開源的跨平臺運行環境，原本旨在讓開發者能夠在瀏覽器之外運行Javascript代碼，但這一特性卻被網絡犯罪分子巧妙利用，成為隱藏惡意軟件、繞過傳統安全防御的新手段。

微軟通過實例詳細闡述了這一新型攻擊方式。犯罪分子通過發布與加密貨幣相關的惡意廣告，誘導用戶下載看似合法的安裝程序，這些程序實則內嵌了惡意的DLL文件，用于收集系統信息。隨后，一個精心設計的PowerShell腳本會下載Node.js的二進制文件和一個Javascript文件，并利用Node.js執行該腳本。這個Javascript文件一旦運行，便會執行一系列惡意操作，包括加載多個模塊、向設備添加證書，以及竊取瀏覽器中的敏感信息。

更為嚴重的是，這些惡意行為往往預示著后續的憑據竊取、規避檢測或執行二次負載等更復雜的攻擊活動。微軟強調，這些攻擊手段的變化表明，網絡犯罪分子正在不斷尋求新的技術突破，以繞過現有的安全防御機制。

在另一案例中，黑客采用了名為ClickFix的社會工程手段，試圖欺騙受害者執行惡意的PowerShell命令。一旦命令被執行，便會觸發多個組件的下載與執行，其中同樣包括Node.js的二進制文件。這種方式使得Javascript代碼無需通過文件形式，便可直接在命令行中運行，從而大大增強了攻擊的隱蔽性和靈活性。

值得注意的是，盡管Python、PHP和AutoIT等傳統腳本語言在威脅活動中仍然占據重要地位，但威脅行為者正在逐漸轉向編譯后的Javascript，甚至直接利用Node.js在命令行中運行腳本。微軟警告稱，這種技術、戰術和程序（TTPs）的變化意味著，盡管與Node.js相關的惡意軟件數量目前并不突出，但其正迅速融入不斷變化的網絡威脅格局之中，成為網絡安全領域的新挑戰。