La cosa più importante da considerare qui è che questo tipo di malware JavaScript non viene eseguito in un browser. Funziona in un runtime speciale chiamato NW.js che fornisce potenti API NodeJS non presenti in un browser.
Mentre NW.js condivide molte tecnologie con il browser Chromium, non è un browser ma un tipo di wrapper nativo per creare app desktop e questo tipo di malware non funzionerebbe in un browser tradizionale che non creerebbe mai le API necessarie per cose come l'accesso diretto al filesystem non richiesto. Pertanto, i browser (e presumibilmente Adobe Reader, anche con un track record non eccezionale) sono già immuni dal design.
D'altra parte, il vantaggio principale di NW.js è che rende queste potenti API disponibili per le applicazioni basate su JavaScript. Ciò significa che è possibile creare applicazioni desktop con funzionalità di applicazione desktop tradizionali. L'unico modo per limitare questa funzionalità sarebbe quello di eliminare questi vantaggi e invalidare completamente il wrapper.
In breve, questo non è un nuovo rischio per la sicurezza. L'esecuzione di qualsiasi applicazione desktop comporta lo stesso rischio, sia scritta in C ++, JavaScript, ecc. L'unica cosa nuova è che JavaScript si è evoluto per essere il linguaggio interpretato di scelta per molte cose nuove, ed è ora un linguaggio comune al di fuori di un browser.
Infatti, il tuo link dice che usa un file RAR autoestraente, il che significa che l'utente deve eseguire un file .exe
. Quella .exe
potrebbe essere qualsiasi cosa.
Da un lato, abbiamo già visto il malware JavaScript puro per Windows che indirizza Windows Script Host perché i file .js sono eseguibili su Windows di default (!). Normalmente questi sono solo usati per ignorare i filtri malware e scaricare più payload eseguibili quando vengono eseguiti.