這款竊資軟體的來歷，最早是Meta的資安團隊在今年5月揭露，他們在1月開始看到越南駭客組織散布，同時這些駭客也會利用另一款名為Ducktail惡意軟體從事相關攻擊行動。

研究人員首度看到NodeStealer的攻擊行動，是由越南駭客發起，當時對方打造了自製的JavaScript指令碼，透過Facebook Messenger向目標用戶發送訊息，一旦使用者依照指示操作，就有可能讓電腦感染此惡意軟體，導致攻擊者掌控企業臉書帳號，而且，過程中完全不需受害者進行互動，甚至也繞過了雙因素驗證等進階安全機制。

而近期的NodeStealer攻擊行動當中，Bitdefender的研究人員看到最新（2.1版）竊資軟體，相較於早期版本主要是挾持Chrome、Edge、Brave、Opera瀏覽器的連線階段（Session），從而接管臉書帳號，新版惡意程式竊取資料的範圍擴大，能夠存取特定服務的電子郵件信箱帳號，或是盜取受害者的加密貨幣。

駭客先是設置多個臉書個人頁面，這些帳號都能顯示上述的裸露照片，然後再假借提供一整組色情圖片的名義打廣告，表明他們更新了相簿內容，或是限時開放下載，引誘使用者上當。一旦使用者點選廣告內容，就有可能從程式碼儲存庫Bitbucket、GitLab，或是雲端檔案共享系統Dropbox下載壓縮檔，其內容包含名為Photo Album的.EXE檔案。

使用者若是開啟這些執行檔，電腦就有可能被植入以.NET打造的竊資軟體NodeStealer，攻擊者不只能藉此控制受害者的臉書帳號、加密貨幣錢包，這次出現的新版竊資軟體還能入侵Gmail、Outlook帳號，並下載其他惡意程式。

值得留意的是，為了避免有人舉報廣告而東窗事發，攻擊者同時最多只會上架5組廣告，並在一天之內就進行切換。

另一方面，這些駭客在攻擊行動當中，為了讓惡意廣告的效果更好，他們充分利用Meta提供的廣告管理工具，以便針對臉書上的男性使用者顯示。