新型NWHStealer攻击链曝光：Bun运行时成恶意软件新工具

网络安全研究人员近期监测到一种正在演变的威胁。名为NWHStealer的Windows信息窃取木马以更复杂的传播链条重新活跃，其感染过程中首次出现了Bun JavaScript运行时的身影。

这一转变表明，攻击者正积极尝试使用小众工具来绕过安全防御。Malwarebytes分析师在常规威胁狩猎中发现了这一新型投递方式。

NWHStealer是一款基于Rust开发的恶意软件，专门窃取Windows系统中的敏感数据。它通过Node.js脚本、MSI安装包以及托管在GitHub、GitLab、SourceForge和Itch.io等平台上的虚假软件下载进行传播。由于伪装成合法软件包，许多用户在毫无戒备的情况下下载并运行。

研究人员Gabriele Orini指出，攻击者现已将Bun纳入恶意软件的投递链条。Bun是作为Node.js高性能替代方案推出的现代JavaScript工具包，其在安全领域的相对新颖性使其成为攻击者规避检测的理想选择。

该木马功能全面：收集系统信息、窃取浏览器保存的数据和密码、清空加密货币钱包，并针对Discord、Steam以及FileZilla等FTP客户端下手。它还能向浏览器进程注入恶意代码、绕过Windows用户账户控制、通过计划任务实现持久化，并从Telegram获取新的命令控制地址以在部分基础设施被查封后维持运作。

攻击规模不容小觑。攻击者持续在合法平台创建新账户推送诱饵，令平台管理员难以快速响应。数据窃取、持久化与自更新基础设施的结合，使NWHStealer对普通用户和企业均构成严重威胁。

感染始于伪装成游戏修改器、软件破解工具或实用程序的ZIP压缩包。已检出的文件名包括MOUSE_PI_Trainer_v1.0.zip、FiveM Mod.zip、TradingView-Activation-Script-0.9.zip和AutoTune 2026.zip等。

压缩包内含Installer.exe，其携带的JavaScript代码与隐藏在.bun区段的Bun运行时被捆绑在一起。恶意JavaScript分为两个关键文件：sysreq.js负责执行PowerShell和WMI命令，检查目标是否为真实机器或虚拟机——通过检测CPU核心数、磁盘空间、屏幕分辨率、硬件制造商甚至用户名，采用评分系统决定是否继续感染；memload.js则负责与攻击者的命令控制服务器通信，字符串和配置信息均经过加密处理。