Kaspersky phát hiện AdaptixC2 lây lan qua lỗi đánh máy npm

Cập nhật lần cuối: 10/22/2025
tác giả: Nguồn CĐường mòn
  • Gói npm độc hại "https-proxy-utils" đã phân phối tác nhân AdaptixC2 thông qua một tập lệnh sau khi cài đặt.
  • Cuộc tấn công sử dụng typosquatting để bắt chước các tiện ích proxy được tải xuống rộng rãi trong hệ sinh thái npm.
  • Hỗ trợ phân phối đa nền tảng cho Windows, macOS và Linux với các tải trọng nhận biết kiến ​​trúc.
  • Các nhà nghiên cứu đã công bố IoC và các mẹo giảm thiểu, lưu ý rằng gói đã bị xóa khỏi npm.

Tấn công chuỗi cung ứng AdaptixC2

Vào tháng 10 năm 2025, các nhà phân tích bảo mật tại Kaspersky đã trình bày chi tiết sự thỏa hiệp trong chuỗi cung ứng nhắm vào hệ sinh thái npm đã lén lút đưa tác nhân hậu khai thác AdaptixC2 qua một gói tương tự có tên https-proxy-utils. Gói này đóng vai trò là trình trợ giúp proxy nhưng lại âm thầm tải và chạy một payload AdaptixC2 trong quá trình cài đặt.

Hoạt động dựa trên kinh điển typosquatting chống lại các mô-đun npm phổ biếnBằng cách sử dụng các tên như http-proxy-agent (~70 triệu lượt tải xuống mỗi tuần) và https-proxy-agent (~90 triệu lượt tải xuống), cùng với hành vi sao chép từ proxy-from-env (~50 triệu lượt tải xuống), gói tin giả mạo đã tăng thêm độ tin cậy — cho đến khi tập lệnh ẩn sau khi cài đặt chuyển giao quyền kiểm soát cho AdaptixC2. Tại thời điểm báo cáo, kẻ mạo danh đã đã xóa khỏi sổ đăng ký npm.

Phân phối tải trọng đa nền tảng

Các nhà điều tra báo cáo rằng trình cài đặt đã thích ứng với hệ điều hành máy chủ với các thói quen tải và duy trì riêng biệt. Trên Windows, tác nhân xuất hiện dưới dạng DLL trong C:\Windows\Tasks. Kịch bản đã sao chép hợp pháp msdtc.exe vào thư mục đó và thực thi nó để tải thư viện độc hại — một mẫu được ánh xạ tới kỹ thuật MITRE ATT&CK T1574.001 (Lừa đảo thứ tự tìm kiếm DLL).

Trên macOS, tập lệnh đã thả một tệp thực thi vào Library/LaunchAgents và tạo ra một plist để chạy tự động. Trước khi tải xuống, logic đã kiểm tra họ CPU và lấy bản dựng phù hợp, x64 hoặc ARM, để phù hợp với hệ thống mục tiêu.

Máy chủ Linux đã nhận được một tệp nhị phân phù hợp với kiến ​​trúc trong /tmp/.fonts-unix, nơi tập lệnh thiết lập quyền thực thi để bắt đầu ngay lập tức. Điều đó Phân phối theo CPU (x64/ARM) đảm bảo rằng tác nhân có thể hoạt động ổn định trên nhiều đội xe khác nhau.

Trên các nền tảng, móc sau khi cài đặt hoạt động như một kích hoạt tự động, không yêu cầu người dùng thực hiện thao tác thủ công sau khi nhà phát triển cài đặt gói — một lý do chính khiến việc lạm dụng chuỗi cung ứng trong trình quản lý gói vẫn gây gián đoạn.

Chiến thuật đa nền tảng AdaptixC2

AdaptixC2 cho phép những gì và tại sao điều này lại quan trọng

Lần đầu tiên được công bố vào đầu năm 2025 — và được phát hiện sử dụng với mục đích xấu ngay từ mùa xuân — AdaptixC2 được coi là khuôn khổ hậu khai thác tương đương với Cobalt Strike. Sau khi được cấy ghép, người vận hành có thể thực hiện truy cập từ xa, thực hiện lệnh, quản lý tệp và quy trình và theo đuổi nhiều tùy chọn lưu trữ.

Những tính năng này giúp kẻ tấn công duy trì quyền truy cập, thực hiện trinh sát và thực hiện các hành động tiếp theo bên trong môi trường phát triển và cơ sở hạ tầng CI/CD. Tóm lại, một phần phụ thuộc bị can thiệp có thể biến một cài đặt thông thường thành một chỗ đứng vững chắc cho chuyển động ngang.

Sự cố npm cũng phù hợp với một mô hình rộng hơn. Chỉ vài tuần trước đó, Giun Shai‑Hulud lây lan qua các kỹ thuật sau khi cài đặt tới hàng trăm gói, nhấn mạnh cách kẻ tấn công tiếp tục sử dụng chuỗi cung ứng nguồn mở đáng tin cậy.

Phân tích của Kaspersky cho rằng việc phân phối npm là do một kẻ mạo danh thuyết phục chức năng proxy thực sự pha trộn với logic cài đặt ẩn. Sự kết hợp này khiến mối đe dọa khó bị phát hiện hơn trong quá trình xem xét thông thường mã hoặc siêu dữ liệu gói.

Tổng quan về khung AdaptixC2

Các bước thực tế và các chỉ số cần theo dõi

Các tổ chức có thể giảm thiểu sự tiếp xúc bằng cách thắt chặt vệ sinh bao bì: xác minh tên chính xác trước khi cài đặt, kiểm tra kỹ lưỡng các kho lưu trữ mới hoặc không phổ biếnvà theo dõi các khuyến cáo bảo mật để tìm dấu hiệu của các mô-đun bị xâm phạm. Nếu có thể, hãy ghim các phiên bản, các hiện vật đã được kiểm tra và các bản dựng cổng với kiểm tra chính sách dưới dạng mã và SBOM.

Gói khóa và băm

  • Tên gói hàng: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – gói băm
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

chỉ báo mạng

  • cloudcenter[.]top/sys/update
  • cloudcenter[.]top/macos_update_arm
  • cloudcenter[.]top/macos_update_x64
  • cloudcenter[.]top/macosUpdate[.]plist
  • cloudcenter[.]top/linux_update_x64
  • cloudcenter[.]top/linux_update_arm

Trong khi gói npm gây khó chịu đã bị gỡ xuống, các nhóm nên kiểm tra các cài đặt phụ thuộc gần đây, săn lùng các chỉ số trên và xem xét các hệ thống để tìm các nhị phân bất ngờ trong C:\Windows\Tasks, Library/LaunchAgents, hoặc là /tmp/.fonts-unix — đặc biệt là nơi các tập lệnh sau khi cài đặt được phép chạy.

Chỉ số và phản ứng của AdaptixC2

Trường hợp npm AdaptixC2 tập hợp mạo danh đáng tin cậy, triển khai đa nền tảng tự động và công cụ C2 có năng lực, minh họa cách một sự phụ thuộc duy nhất có thể mở ra cánh cửa cho quyền truy cập lâu dài; việc liên tục cảnh giác xung quanh việc lựa chọn gói, xây dựng đường ống và đo từ xa là điều cần thiết để ngăn chặn kiểu tấn công này.

bài viết liên quan: