СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#ИБ#Инфра

Node.js и новые угрозы: как злоумышленники манипулируют безопасностью

Node.js и новые угрозы: как злоумышленники манипулируют безопасностью

Недавние исследования экспертов Microsoft Defender выявили тревожные тенденции в киберугрозах, связанные со злоупотреблением технологий Node.js. Злоумышленники всё активнее используют этот инструмент для распространения вредоносного ПО, прибегая к тактике недобросовестной рекламы, особенно в рамках схем, связанных с торговлей криптовалютами.

Методы злоумышленников

Киберпреступники перенаправляют пользователей на поддельные веб-сайты, предлагая загрузить вредоносный установщик, маскирующийся под легальное программное обеспечение. Следует отметить несколько ключевых особенностей этих атак:

  • Установщик упакован с использованием Wix и включает вредоносную библиотеку DLL.
  • Библиотека собирает системную информацию и настраивает запланированную задачу для обеспечения постоянства вредоносной активности.
  • После активации, библиотека выполняет запрос WMI для сбора данных о системе и создает запланированное задание для выполнения команд PowerShell.
  • Запланированное задание исключает проверку текущего каталога процесса PowerShell, что позволяет скрыть дальнейшие действия от защитника Microsoft.

Последствия атак

В результате выполнения этих механизмов, злоумышленники получают возможность:

  • Извлекать скрипты из удаленных мест.
  • Компилировать собранную информацию в формат JSON.
  • Отправлять эти данные на сервер управления (C2) злоумышленников.

Затем вредоносное ПО загружает архив с C2, который обычно включает в себя следующие компоненты:

  • Node.js среда выполнения.
  • Скомпилированный файл JavaScript.
  • Несколько вспомогательных библиотек.

Такие компоненты могут быть использованы для кражи учетных данных и выполнения вторичных задач.

Необходимые меры безопасности

В ответ на эти угрозы, организациям следует предпринимать следующие шаги для повышения уровня безопасности:

  • Внедрять мониторинг выполнения Node.js на конечных точках.
  • Принудительно вести журналы PowerShell.
  • Использовать передовые решения для защиты конечных точек, например, EDR или XDR.
  • Обеспечивать соблюдение строгих правил исходящих сообщений брандмауэрами, чтобы блокировать связь с подозрительными доменами.

Ключевую роль в снижении рисков также играют кампании по повышению осведомленности пользователей о dangers загрузки программного обеспечения из непроверенных источников.

Заключение

Обнаружение и предотвращение таких атак требует постоянного мониторинга подозрительного поведения, связанного с PowerShell, действиями планировщика задач и загрузкой двоичных файлов Node.js. Предприятиям необходимо проявлять активность в выявлении и реагировании на возникающие угрозы, чтобы защитить свою конфиденциальную информацию и сохранить целостность систем в условиях всё более сложной хакерской среды.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: