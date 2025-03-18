Poiché le applicazioni Electron eseguono JavaScript al tempo di esecuzione, la modifica di questi file JavaScript consente agli autori degli attacchi di inserire codice Node.js arbitrario nel processo di Electron. Sfruttando le API Node.js e Chromium, il codice JavaScript può interagire con il sistema operativo.

Non ho scoperto la possibilità di modificare file JavaScript di applicazioni Electron affidabili per eseguire codice Node.js JavaScript arbitrario. I primi tentativi a riguardo risalgono al 2022.

All'inizio del 2022, Andrew Kisliakov ha pubblicato il blog "Microsoft Teams and other Electron Apps as LOLbins". Andrew e @mrd0x hanno contribuito con le loro scoperte al progetto LOLBAS.

Più tardi, nel 2022, Valentina Palmiotti (@chompie1337), Ellis Springe (@knavesec) e Ruben hanno approfondito ulteriormente questo approccio, portando allo sviluppo di uno strumento di persistenza interna che da allora è stato utilizzato nelle operazioni del red team.

Sempre nel 2022, Michael Taggart ha lanciato il progetto quASAR, uno strumento progettato per modificare le applicazioni Electron per consentire l'esecuzione dei comandi. Nel suo blog "Quasar: Compromising Electron Apps", ha raccontato che nel settembre 2022, un membro del progetto Electron lo ha contattato affermando che il controllo dell'integrità era una funzione di prova e che si sperava sarebbe stato pienamente supportato in futuro.

Sperimentando personalmente con le applicazioni Electron più recenti, come Signal, ho avuto la conferma che per alcune applicazioni Electron sono ora in atto controlli di integrità che impediscono la modifica dei file JavaScript. Tuttavia, molte applicazioni Electron attivamente distribuite rimangono vulnerabili.

Questa tecnica è stata osservata anche in attacchi reali. Nel 2022, un attore delle minacce ha eseguito il backdoor dell'applicazione di chat MiMi modificando i file JavaScript in bundle sul server di distribuzione. Trend Micro ha identificato questa operazione come un attacco alla supply chain, in cui l'app compromessa veniva distribuita agli utenti finali, permettendo l'esecuzione di codice JavaScript malevolo che scaricava ed eseguiva un payload C2 di fase 2.