Kaspersky otkriva da se AdaptixC2 širio putem tiposquattinga u npm-u

Posljednje ažuriranje: 10/22/2025
Autor: C SourceTrail
  • Zlonamjerni npm paket "https-proxy-utils" je isporučio AdaptixC2 agenta putem skripte nakon instalacije.
  • Napad je koristio tiposquatting kako bi imitirao široko preuzete proxy uslužne programe u npm ekosistemu.
  • Isporuka na više platformi podržavala je Windows, macOS i Linux s korisnim teretima koji su svjesni arhitekture.
  • Istraživači su objavili IoC-ove i savjete za ublažavanje, napominjući da je paket uklonjen iz npm-a.

Napad na lanac snabdijevanja AdaptixC2

U oktobru 2025. godine, sigurnosni analitičari kompanije Kaspersky detaljno su opisali Kompromitacija lanca snabdijevanja usmjerena na NPM ekosistem koji je prokrijumčario AdaptixC2 agenta nakon eksploatacije putem sličnog paketa pod nazivom https-proxy-utils. Paket se predstavljao kao proxy pomoćnik, ali je tiho dohvatio i pokrenuo AdaptixC2 payload tokom instalacije.

Operacija se oslanjala na klasične tiposquatting u popularnim npm modulimaOponašanjem imena poput http-proxy-agent (~70 miliona sedmičnih preuzimanja) i https-proxy-agent (~90 miliona), te kloniranjem ponašanja iz proxy-from-env (~50 miliona), lažni paket je povećao svoj kredibilitet - sve dok skriveni post-instalacijski skript nije predao kontrolu AdaptixC2. U vrijeme izvještavanja, varalica je bio... uklonjeno iz npm registra.

Isporuka korisnog tereta na više platformi

Istražitelji izvještavaju da se instalacijski program prilagodio host operativnom sistemu sa različite rutine učitavanja i perzistencijeNa Windowsu, agent je stigao kao DLL pod C:\Windows\TasksSkripta je kopirala legitimni msdtc.exe u taj direktorij i izvršio ga kako bi instalirao zlonamjernu biblioteku - obrazac mapiran na MITRE ATT&CK tehniku T1574.001 (Otmica DLL pretrage).

Na macOS-u, skripta je ubacila izvršnu datoteku u Library/LaunchAgents i stvorio plist za automatsko pokretanjePrije preuzimanja, logika je provjerila porodicu CPU-a i preuzela odgovarajuću verziju, x64 ili ARM, da bi se uklopio u ciljni sistem.

Linux hostovi su primili binarnu datoteku koja se podudara s arhitekturom u /tmp/.fonts-unix, gdje skripta postavlja dozvole za izvršavanje za trenutni početak. To Isporuka svjesna CPU-a (x64/ARM) osiguralo je da agent može konzistentno raditi u različitim flotama.

Na svim platformama, hook nakon instalacije djelovao je kao automatski okidač, ne zahtijevajući nikakvu ručnu akciju korisnika nakon što programer instalira paket - ključni razlog zašto zloupotreba lanca snabdijevanja u upraviteljima paketa ostaje toliko remetilačka.

AdaptixC2 taktike za više platformi

Šta AdaptixC2 omogućava i zašto je to važno

Prvi put objavljen početkom 2025. godine — i viđen u zlonamjernoj upotrebi već u proljeće — AdaptixC2 je predstavljen kao okvir nakon eksploatacije uporediv sa Cobalt StrikeomNakon implantacije, operateri mogu obavljati daljinski pristup, izvršavati naredbe, upravljati datotekama i procesima i pratiti... više opcija perzistencije.

Ove funkcije pomažu protivnicima da održe pristup, izvrše izviđanje i pokrenu naknadne akcije unutar razvojnih okruženja i CI/CD infrastrukture. Ukratko, neovlaštena zavisnost može pretvoriti rutinsku instalaciju u pouzdan oslonac za bočno kretanje.

Incident s novim zaposlenicima (npm) također se uklapa u širi obrazac. Samo nekoliko sedmica ranije, Šaj-Hulud crv proširilo se putem tehnika nakon instalacije na stotine paketa, što naglašava kako napadači nastavljaju da koriste oružje pouzdani lanci snabdijevanja otvorenim kodom.

Kasperskyjeva analiza pripisuje isporuku npm-a uvjerljivom varalici koji Kombinovana funkcionalnost pravog proxyja sa skrivenom logikom instalacije. Kombinacija je otežala uočavanje prijetnje tokom povremenih pregleda koda ili metapodataka paketa.

Pregled AdaptixC2 okvira

Praktični koraci i pokazatelji koje treba pratiti

Organizacije mogu smanjiti izloženost pooštravanjem higijene pakovanja: provjerom tačnih imena prije instalacije, proučiti nove ili nepopularne repozitorijei pratite sigurnosne savjete za znakove kompromitiranih modula. Gdje je to moguće, pin verzije, zrcalno provjerene artefakte i gate verzije sa Provjere pravila kao koda i SBOM-a.

Paket ključeva i hashovi

  • Naziv paketa: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – heš paketa
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

Mrežni indikatori

  • cloudcenter[.]top/sys/update
  • cloudcenter[.]top/macos_update_arm
  • cloudcenter[.]top/macos_update_x64
  • cloudcenter[.]top/macosUpdate[.]plist
  • cloudcenter[.]top/linux_update_x64
  • cloudcenter[.]top/linux_update_arm

Iako je sporni npm paket uklonjen, timovi bi trebali provjeri nedavne instalacije zavisnosti, potražite gore navedene indikatore i pregledajte sisteme za neočekivane binarne datoteke u C:\Windows\Tasks, Library/LaunchAgents, ili /tmp/.fonts-unix - posebno tamo gdje skripte nakon instalacije bilo im je dozvoljeno da trče.

Indikatori i odgovor AdaptixC2

Slučaj AdaptixC2 npm okuplja vjerodostojno lažno predstavljanje, automatizirano višeplatformsko postavljanje i sposobni C2 alati, što ilustruje kako jedna zavisnost može otvoriti vrata dugotrajnom pristupu; stalna budnost oko odabira paketa, izgradnje cjevovoda i telemetrije je ključna za ublažavanje ovog tipa napada.

Slični postovi: