由于 Electron 应用程序在运行时执行 JavaScript，攻击者可通过修改这些 JavaScript 文件将任意 Node.js 代码注入 Electron 进程。借助 Node.js 与 Chromium 的 API，JavaScript 代码便能与操作系统进行交互。

通过修改受信任 Electron 应用的 JavaScript 文件来执行任意 Node.js 代码的能力并非我的发现。我能找到的最早参考文献可追溯至 2022 年。

2022 年初，Andrew Kisliakov 发布了一篇博客文章，标题为《Microsoft Teams 及其他 Electron 应用程序作为 LOLbins 的利用》。Andrew 与 @mrd0x 已将其研究发现提交至 LOLBAS 项目。

2022 年末，Valentina Palmiotti (@chompie1337)、Ellis Springe (@knavesec) 和 Ruben 进一步探索了此方法，并开发出一款内部持久化工具，此后被应用于红队行动中。

同样在 2022 年，Michael Taggart 发布了 quASAR 项目，这是一款旨在修改 Electron 应用程序以实现命令执行的工具。他在博客《Quasar：攻陷 Electron 应用》中提到，2022 年 9 月 Electron 项目组成员曾联系他，表示完整性检查当时尚属实验性功能，有望在未来获得全面支持。

通过亲身测试 Signal 等新版 Electron 应用，我确认部分 Electron 应用已实施完整性检查，防止其 JavaScript 文件被篡改。但许多仍活跃分发的 Electron 应用依然存在漏洞。

该技术在现实世界的攻击活动中也已被观测到实际应用。2022 年，某威胁参与者通过在分发服务器上篡改 MiMi 聊天应用程序的捆绑 JavaScript 文件，对该应用实施了后门植入。Trend Micro 将此事件认定为一起供应链攻击，被入侵的 Electron 应用被分发给终端用户后，其中植入的恶意 JavaScript 代码会执行，进而下载并运行第二阶段的 C2 载荷。