CYFIRMA 最近发现了一种新的基于 Node.js 的恶意软件 “Wish Stealer”，它通过从 Discord、网络浏览器、加密货币钱包和社交媒体账户中窃取敏感信息来攻击 Windows 用户。这种先进的恶意软件利用了会话劫持、剪贴板操作和权限升级，对个人和组织都是一个强大的威胁。据 CYFIRMA 称，“Wish Stealer 可以访问用户会话并提取大量个人数据”，强调了该恶意软件渗透多个应用程序的能力。

Wish Stealer的运行非常隐蔽，首先是控制台隐藏功能，以避免在受感染的系统中被发现。该恶意软件的主要功能被组织在模块化文件夹中，每个文件夹专门用于特定任务。CYFIRMA 报告称，“窃取程序在受害者系统上高效、悄无声息地运行，首先是隐藏控制台功能，以在不被发现的情况下运行程序”。它对加密货币用户尤其危险，因为它会持续监控剪贴板，并用黑客的地址替换任何复制的加密货币地址。这会导致重大经济损失，因为毫无戒心的用户会直接向恶意账户发送资金。

除了针对加密货币，该恶意软件还会从 Chrome 和 Edge 等基于 Chromium 的流行浏览器中提取浏览器存储的凭据和 cookie。CYFIRMA 指出，“窃取者将进一步解密并发送到攻击者的 Discord Webhook”，使攻击者无需密码或绕过双因素身份验证就能轻松访问敏感的用户账户。

一旦 Wish Stealer 收集了数据，它就会将窃取的信息捆绑到一个 ZIP 文件 “wish.zip ”中，并通过 gofile.io API 上传到远程服务器。CYFIRMA 解释说：“上传完成后，它会将文件的下载链接发送到黑客的 Discord 服务器上”，使受害者几乎无法跟踪或恢复被盗数据。该恶意软件还通过将自身复制到一个隐藏的系统文件夹并在 Windows 注册表中注册来确保其持久性。

CYFIRMA 的研究发现，Discord 上的一个威胁行为者组织一直在积极推广 Wish Stealer，其频道上的活动始于 2024 年 9 月。Aurita Stealer “等组织对该恶意软件的推广表明，该组织对销售利用用户信任和平台漏洞的高级工具的兴趣与日俱增。CYFIRMA 强调，“企业必须加强安全协议，用户必须保持警惕”，防范 Wish Stealer 等新出现的恶意软件。