GachiLoader: Defeating Node.js Malware with API Tracing

1 minute de lecture

Mis à jour : December 17, 2025

GachiLoader: Une Nouvelle Menace Node.js

Une campagne malveillante exploitant des comptes YouTube compromis distribue un nouveau chargeur écrit en Node.js, baptisé “GachiLoader”. Ce logiciel malveillant est fortement obfusqué, rendant son analyse complexe. Pour surmonter cet obstacle, une nouvelle bibliothèque open-source de traçage pour scripts Node.js a été développée, simplifiant l’analyse et l’extraction de configurations.

Points Clés

Distribution via YouTube Ghost Network : Des comptes YouTube compromis promeuvent des vidéos offrant des “cheats” pour jeux vidéo et des logiciels piratés, incitant les utilisateurs à télécharger des logiciels malveillants.
GachiLoader : Un chargeur Node.js obfusqué utilisé pour déployer des charges utiles supplémentaires. Il intègre des techniques d’évasion de bac à sable et de détection d’antivirus.
Kidkadi : Une variante de GachiLoader déploie un second chargeur, Kidkadi, qui utilise une technique innovante d’injection de code exécutable portable (PE) nommée “Vectored Overloading”.
Vectored Overloading : Cette technique trompe le chargeur Windows pour qu’il exécute une charge utile malveillante en mémoire plutôt qu’une DLL légitime, en abusant des gestionnaires d’exceptions vectorisés (VEH).

Vulnérabilités

Aucune vulnérabilité logicielle spécifique n’est directement mentionnée par son identifiant CVE. Cependant, la méthode d’injection de code PE, “Vectored Overloading”, représente une technique d’évasion avancée qui exploite le fonctionnement interne de Windows pour dissimuler des charges utiles malveillantes.

Recommandations

Prudence avec les contenus suspects : Les utilisateurs doivent se méfier des offres de logiciels piratés, cracks, ou “cheats” trouvés sur des plateformes comme YouTube, car ils sont souvent utilisés pour distribuer des malwares.
Utilisation d’outils de sécurité à jour : Les solutions de sécurité comme Check Point Threat Emulation et Harmony Endpoint offrent une protection contre ces types d’attaques.
Analyse et détection améliorées : Le développement d’outils comme le Node.js Tracer et la publication de nouvelles techniques comme Vectored Overloading sont cruciaux pour que la communauté de la cybersécurité puisse analyser et détecter ces menaces.
Mise à jour des connaissances : Les chercheurs en sécurité doivent rester informés des nouvelles techniques d’évasion et d’injection utilisées par les acteurs malveillants.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

GachiLoader: Defeating Node.js Malware with API Tracing

GachiLoader: Une Nouvelle Menace Node.js

Points Clés

Vulnérabilités

Recommandations

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast