„Kaspersky“ aptiko „AdaptixC2“ plitimą per npm tipografijos klaidas

Paskutiniai pakeitimai: 10/22/2025
Autorius: C SourceTrail
  • Kenkėjiškas npm paketas „https-proxy-utils“ pristatė „AdaptixC2“ agentą per įdiegimo scenarijų.
  • Ataka naudojo typosquatting, kad imituotų plačiai atsisiunčiamas tarpinio serverio paslaugas npm ekosistemoje.
  • Skirtingų platformų teikimas palaikė „Windows“, „macOS“ ir „Linux“ su architektūrą atitinkančiais paketais.
  • Tyrėjai paskelbė IoC ir patarimus dėl rizikos mažinimo, pažymėdami, kad paketas buvo pašalintas iš npm.

„AdaptixC2“ tiekimo grandinės ataka

2025 m. spalį „Kaspersky“ saugumo analitikai išsamiai aprašė tiekimo grandinės kompromisas, nukreiptas į NPM ekosistemą kuris slapta perkėlė „AdaptixC2“ po išnaudojimo agentą per panašų paketą, pavadintą „https-proxy-utils“. Paketas apsimetė tarpinio serverio pagalbininku, tačiau diegimo metu tyliai nuskaitė ir paleido „AdaptixC2“ paketą.

Operacija rėmėsi klasika rašybos klaidos prieš populiarius npm moduliusAtkartodamas tokius pavadinimus kaip „http-proxy-agent“ (apie 70 mln. atsisiuntimų per savaitę) ir „https-proxy-agent“ (apie 90 mln. atsisiuntimų) bei klonuodamas elgseną iš „proxy-from-env“ (apie 50 mln.), sukčiavimo paketas padidino savo patikimumą – kol paslėptas po įdiegimo scenarijus neperdavė valdymo „AdaptixC2“. Ataskaitos rengimo metu apsimetėlis buvo... pašalintas iš npm registro.

Tarpplatforminis naudingosios apkrovos pristatymas

Tyrėjai praneša, kad diegimo programa prisitaikė prie pagrindinės operacinės sistemos su atskiros pakrovimo ir išlaikymo rutinos„Windows“ sistemoje agentas atkeliavo kaip DLL failas C:\Windows\TasksScenarijus nukopijavo teisėtą msdtc.exe į tą katalogą ir vykdė jį, kad įkeltų kenkėjišką biblioteką – tai modelis, susietas su MITRE ATT&CK technika T1574.001 (DLL paieškos užsakymo užgrobimas).

„macOS“ sistemoje scenarijus įkėlė vykdomąjį failą į Library/LaunchAgents ir sukūrė automatinio paleidimo plistPrieš atsisiuntimą logika patikrino procesoriaus šeimą ir gavo tinkamą versiją. x64 arba ARM, kad atitiktų tikslinę sistemą.

„Linux“ pagrindiniai kompiuteriai gavo architektūrai pritaikytą dvejetainį failą /tmp/.fonts-unix, kur scenarijus nustato vykdymo teises, kad būtų galima nedelsiant paleisti. Tai CPU sąmoningas pristatymas (x64/ARM) užtikrino, kad agentas galėtų nuosekliai veikti įvairiuose transporto priemonių parkuose.

Visose platformose po diegimo vykdomas kabliukas veikė kaip automatinis paleidiklis, nereikalaujant jokių rankinių vartotojo veiksmų, kai kūrėjas įdiegia paketą – pagrindinė priežastis, kodėl tiekimo grandinės piktnaudžiavimas paketų tvarkyklėse išlieka toks trikdantis.

„AdaptixC2“ kelių platformų taktika

Ką suteikia „AdaptixC2“ ir kodėl tai svarbu

Pirmą kartą paviešinta 2025 m. pradžioje – ir jau pavasarį pastebėta, kad kenkėjiškas naudojimas – „AdaptixC2“ įvardijamas kaip po eksploatavimo sistema, panaši į „Cobalt Strike“Įdiegus, operatoriai gali atlikti nuotolinę prieigą, vykdyti komandas, valdyti failus ir procesus bei vykdyti kelios išlikimo parinktys.

Šios funkcijos padeda priešininkams išlaikyti prieigą, vykdyti žvalgybą ir planuoti tolesnius veiksmus kūrėjų aplinkose ir CI/CD infrastruktūroje. Trumpai tariant, pakeista priklausomybė gali paversti įprastą diegimą... patikimas atramos taškas šoniniam judėjimui.

NPM incidentas taip pat atitinka platesnį modelį. Vos prieš kelias savaites... Šai-Huludo kirminas išplito po įdiegimo metodais į šimtus paketų, pabrėždamas, kaip užpuolikai ir toliau naudoja ginklus patikimos atvirojo kodo tiekimo grandinės.

„Kaspersky“ analizėje „npm“ pristatymas priskiriamas įtikinamam apsimetėliui, kuris sumaišytas realaus tarpinio serverio funkcionalumas su paslėpta diegimo logika. Dėl šio derinio grėsmę buvo sunkiau pastebėti atsitiktinai peržiūrint kodą ar paketo metaduomenis.

AdaptixC2 platformos apžvalga

Praktiniai žingsniai ir rodikliai, į kuriuos reikia atkreipti dėmesį

Organizacijos gali sumažinti poveikį griežtindamos pakuočių higieną: prieš diegimą patikrinkite tikslius pavadinimus, atidžiai išnagrinėti naujas arba nepopuliarias saugyklasir stebėkite saugumo įspėjimus, ar nėra pažeistų modulių požymių. Jei įmanoma, PIN versijos, veidrodyje patikrinti artefaktai ir vartų versijos su politikos kaip kodo ir SBOM patikrinimai.

Raktų paketas ir maišos

  • Paketo pavadinimas: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – paketo maišos
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

Tinklo indikatoriai

  • debesijos centras[.]viršutinis/sistemos/atnaujinimas
  • debesų centras[.]viršus/macos_update_arm
  • debesų centras[.]viršus/macos_update_x64
  • debesijos centras[.]viršus/macosUpdate[.]plist
  • debesijos centras[.]top/linux_update_x64
  • debesijos centras[.]top/linux_update_arm

Nors taisykles pažeidžiantis npm paketas buvo pašalintas, komandos turėtų audituoti naujausius priklausomybių diegimus, ieškoti aukščiau nurodytų rodiklių ir peržiūrėti sistemas, ar nėra netikėtų dvejetainių failų C:\Windows\Tasks, Library/LaunchAgentsarba /tmp/.fonts-unix – ypač ten, kur po diegimo scenarijai buvo leista bėgioti.

AdaptixC2 indikatoriai ir atsakas

„AdaptixC2 npm“ korpusas sujungia patikimas apsimetinėjimas, automatizuotas diegimas įvairiose platformose ir pajėgios C2 priemonės, iliustruojantys, kaip viena priklausomybė gali atverti duris ilgalaikei prieigai; nuolatinis budrumas renkantis paketus, kuriant kanalus ir telemetriją yra būtinas norint sušvelninti tokio tipo atakas.

Susijusios naujienos: