Kaspersky oppdager at AdaptixC2 spres via npm typosquatting

Siste oppdatering: 10/22/2025
Forfatter: C SourceTrail
  • Den ondsinnede npm-pakken «https-proxy-utils» leverte AdaptixC2-agenten via et skript etter installasjon.
  • Angrepet brukte typosquatting for å etterligne mye nedlastede proxy-verktøy i npm-økosystemet.
  • Levering på tvers av plattformer støttet Windows, macOS og Linux med arkitekturbevisste nyttelaster.
  • Forskere publiserte IoC-er og tips for tiltaksreduksjoner, og bemerket at pakken ble fjernet fra npm.

AdaptixC2-angrep i forsyningskjeden

I oktober 2025 beskrev sikkerhetsanalytikere hos Kaspersky en Kompromiss i forsyningskjeden rettet mot npm-økosystemet som smuglet AdaptixC2-agenten etter utnyttelse gjennom en lignende pakke kalt https-proxy-utils. Pakken utga seg for å være en proxy-hjelper, men hentet og kjørte i stillhet en AdaptixC2-nyttelast under installasjonen.

Operasjonen var basert på klassisk typosquatting mot populære npm-modulerVed å gjenta navn som http-proxy-agent (~70 millioner ukentlige nedlastinger) og https-proxy-agent (~90 millioner), og kloning av proxy-from-env (~50 millioner), økte den uærlige pakken sin troverdighet – helt til det skjulte skriptet etter installasjon overlot kontrollen til AdaptixC2. På rapporteringstidspunktet hadde bedrageren vært fjernet fra npm-registeret.

Levering av nyttelast på tvers av plattformer

Etterforskere rapporterer at installasjonsprogrammet tilpasset seg verts-OS med distinkte laste- og utholdenhetsrutinerPå Windows ankom agenten som en DLL under C:\Windows\TasksSkriptet kopierte det legitime msdtc.exe inn i den katalogen og kjørte den for å sidelaste det skadelige biblioteket – et mønster tilordnet MITRE ATT&CK-teknikken T1574.001 (DLL-søkeordrekapring).

På macOS slapp skriptet en kjørbar fil i Library/LaunchAgents og opprettet en plist for autokjøringFør nedlasting sjekket logikken CPU-familien og hentet riktig build, x64 eller ARM, for å passe til målsystemet.

Linux-verter mottok en arkitekturtilsvarende binærfil i /tmp/.fonts-unix, der skriptet setter utførelsestillatelser for umiddelbar start. Det CPU-bevisst levering (x64/ARM) sørget for at agenten kunne kjøre konsekvent på tvers av ulike flåter.

På tvers av plattformer fungerte postinstallasjonskroken som en automatisk utløser, som ikke krever noen manuell brukerhandling når utvikleren har installert pakken – en viktig grunn til at misbruk av forsyningskjeden i pakkebehandlere fortsatt er så forstyrrende.

AdaptixC2-taktikker på tvers av plattformer

Hva AdaptixC2 muliggjør og hvorfor dette er viktig

AdaptixC2 ble først offentliggjort tidlig i 2025 – og observert i ondsinnet bruk så tidlig som våren – og blir fremstilt som en rammeverk etter utnyttelse sammenlignbart med Cobalt StrikeNår de er implantert, kan operatører utføre fjerntilgang, utføre kommandoer, administrere filer og prosesser, og fortsette flere utholdenhetsalternativer.

Disse funksjonene hjelper motstandere med å opprettholde tilgang, kjøre rekognosering og utføre oppfølgingshandlinger i utviklermiljøer og CI/CD-infrastruktur. Kort sagt kan en manipulert avhengighet gjøre en rutinemessig installasjon om til en pålitelig fotfeste for sideveis bevegelse.

npm-hendelsen passer også inn i et bredere mønster. Bare uker tidligere, Shai-Hulud-ormen spres via etterinstallasjonsteknikker til hundrevis av pakker, noe som understreker hvordan angripere fortsetter å bevæpne seg pålitelige forsyningskjeder med åpen kildekode.

Kasperskys analyse tilskriver npm-leveransen til en overbevisende bedrager som blandet ekte proxy-funksjonalitet med skjult installasjonslogikk. Kombinasjonen gjorde det vanskeligere å oppdage trusselen under tilfeldige gjennomganger av kode eller pakkemetadata.

Oversikt over AdaptixC2-rammeverket

Praktiske trinn og indikatorer å følge med på

Organisasjoner kan redusere eksponering ved å stramme inn emballasjehygienen: bekreft nøyaktige navn før installasjon, granske nye eller upopulære arkiver, og spor sikkerhetsråd for tegn på kompromitterte moduler. Der det er mulig, PIN-versjoner, speilede verifiserte artefakter og gate-bygg med policy-as-code og SBOM-kontroller.

Nøkkelpakke og hashkoder

  • Pakkenavn: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – pakke-hash
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

Nettverksindikatorer

  • cloudcenter[.]top/sys/update
  • skysenter[.]topp/macos_oppdatering_arm
  • skysenter[.]topp/macos_oppdatering_x64
  • cloudcenter[.]top/macosUpdate[.]plist
  • skysenter[.]topp/linux_oppdatering_x64
  • skysenter[.]topp/linux_oppdatering_arm

Selv om den problematiske npm-pakken er fjernet, bør lagene revider nylige avhengighetsinstallasjoner, let etter indikatorene ovenfor, og gjennomgå systemer for uventede binærfiler i C:\Windows\Tasks, Library/LaunchAgentseller /tmp/.fonts-unix – spesielt der skript etter installasjon fikk lov til å løpe.

AdaptixC2-indikatorer og -respons

AdaptixC2 npm-dekselet samler troverdig etterligning, automatisert distribusjon på tvers av plattformer og kapable C2-verktøy, som illustrerer hvordan en enkelt avhengighet kan åpne døren for langvarig tilgang; vedvarende årvåkenhet rundt pakkevalg, byggepipeliner og telemetri er avgjørende for å dempe denne angrepstypen.

Relaterte innlegg: