بدافزار Nodersok / Divergent تاکنون هزاران رایانه ویندوزی را با بارگیری و نصب نسخهای از Node.js در سراسر جهان آلوده کرده است
این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نامگذاری شده است و از طریق آگهیهای مخربی توزیع میشود که به اجبار فایلهای HTA برنامه HTML را بر روی رایانههای کاربران بارگیری میکند.
کاربرانی که فایلهای HTA مخرب را اجرا کنند، یک فرآیند آلودگی چند مرحلهای با اسکریپتهای اکسل، جاوااسکریپت و PowerShell در رایانه آنان آغاز میشود که در نهایت به نصب بدافزار Nodersok منجر میشود.
بدافزار Nodersok/ Divergent دارای چندین مؤلفه است که هر کدام نقش خاص خود را ایفا میکنند؛ ماژول PowerShell در بدافزار، Windows Defender و Windows Update را غیرفعال میکند.
ماژول دیگر بدافزار Nodersok/ Divergent سطح دسترسی آن را به سطح SYSTEM ارتقا میدهد.
همچنین بدافزار از دو ماژول قانونی WinDivert و Node.js برای آغاز پراکسی SOCKS روی میزبانهای آلوده استفاده میکند.
کارشناسان مرکز افتا میگویند در حالیکه مایکروسافت ادعا کرده است که بدافزار Nodersok/ Divergent میزبانهای آلوده را به سرور پراکسی تبدیل میکند تا بتواند ترافیک مخرب را منتقل کند، سیسکو مدعی است از این پراکسیها برای سرقت کلیک استفاده میشود.
کارشناسان امنیت سایبری از کاربران خواستهاند برای جلوگیری از آلودگی رایانههایشان به بدافزار Nodersok/ Divergent، هیچ فایل HTA را اجرا نکنند، به خصوص فایلهایی که منابع آنها نامعتبر است.