Kaspersky menemukan penyebaran AdaptixC2 melalui kesalahan ketik npm

Pembaharuan Terakhir: 10/22/2025
penulis: Sumber Jejak C
  • Paket npm berbahaya "https-proxy-utils" mengirimkan agen AdaptixC2 melalui skrip pasca-instalasi.
  • Serangan menggunakan typosquatting untuk meniru utilitas proxy yang diunduh secara luas dalam ekosistem npm.
  • Pengiriman lintas platform mendukung Windows, macOS, dan Linux dengan muatan yang sadar arsitektur.
  • Para peneliti menerbitkan IoC dan kiat-kiat mitigasi, yang mencatat paket tersebut dihapus dari npm.

Serangan rantai pasokan AdaptixC2

Pada bulan Oktober 2025, analis keamanan di Kaspersky merinci kompromi rantai pasokan yang menargetkan ekosistem NPM yang menyelundupkan agen pasca-eksploitasi AdaptixC2 melalui paket serupa bernama https-proxy-utils. Paket tersebut menyamar sebagai pembantu proksi tetapi diam-diam mengambil dan menjalankan muatan AdaptixC2 selama instalasi.

Operasi ini mengandalkan klasik typosquatting terhadap modul npm populerDengan meniru nama-nama seperti http-proxy-agent (~70 juta unduhan mingguan) dan https-proxy-agent (~90 juta), serta mengkloning perilaku dari proxy-from-env (~50 juta), paket palsu tersebut meningkatkan kredibilitasnya — hingga skrip pasca-instal tersembunyi menyerahkan kendali kepada AdaptixC2. Pada saat pelaporan, penipu tersebut telah dihapus dari registri npm.

Pengiriman muatan lintas platform

Para penyelidik melaporkan bahwa penginstal beradaptasi dengan OS host dengan rutinitas pemuatan dan persistensi yang berbedaDi Windows, agen tiba sebagai DLL di bawah C:\Windows\Tasks. Naskahnya disalin dari naskah yang sah msdtc.exe ke direktori tersebut dan mengeksekusinya untuk melakukan sideload pustaka berbahaya — sebuah pola yang dipetakan ke teknik MITRE ATT&CK T1574.001 (Pembajakan Perintah Pencarian DLL).

Di macOS, skrip tersebut menjatuhkan file yang dapat dieksekusi ke Library/LaunchAgents dan menciptakan plist untuk autorunSebelum mengunduh, logika memeriksa keluarga CPU dan mengambil build yang sesuai, x64 atau ARM, agar sesuai dengan sistem target.

Host Linux menerima biner yang sesuai dengan arsitektur di /tmp/.fonts-unix, di mana skrip tersebut mengatur izin eksekusi untuk memulai segera. Itu Pengiriman yang mendukung CPU (x64/ARM) memastikan agen dapat berjalan secara konsisten di berbagai armada.

Di seluruh platform, kait pasca-instal bertindak sebagai pemicu otomatis, yang tidak memerlukan tindakan pengguna manual setelah pengembang memasang paket — alasan utama mengapa penyalahgunaan rantai pasokan pada manajer paket tetap sangat mengganggu.

Taktik lintas platform AdaptixC2

Apa yang dimungkinkan oleh AdaptixC2 dan mengapa ini penting

Pertama kali dipublikasikan pada awal tahun 2025 — dan terlihat digunakan secara jahat sejak musim semi — AdaptixC2 dibingkai sebagai kerangka kerja pasca-eksploitasi yang sebanding dengan Cobalt StrikeSetelah ditanamkan, operator dapat melakukan akses jarak jauh, eksekusi perintah, manajemen file dan proses, dan mengejar beberapa opsi persistensi.

Fitur-fitur ini membantu penyerang mempertahankan akses, menjalankan pengintaian, dan melakukan tindakan lanjutan di dalam lingkungan pengembang dan infrastruktur CI/CD. Singkatnya, dependensi yang dimodifikasi dapat mengubah instalasi rutin menjadi pijakan yang andal untuk gerakan lateral.

Insiden NPM juga sesuai dengan pola yang lebih luas. Beberapa minggu sebelumnya, Cacing Shai‑Hulud penyebaran melalui teknik pasca-instal ke ratusan paket, menggarisbawahi bagaimana penyerang terus mempersenjatai rantai pasokan sumber terbuka tepercaya.

Analisis Kaspersky mengaitkan pengiriman npm dengan penipu yang meyakinkan bahwa fungsionalitas proxy nyata campuran dengan logika instalasi tersembunyi. Kombinasi ini membuat ancaman lebih sulit dideteksi selama peninjauan kode atau metadata paket secara sepintas.

Ikhtisar kerangka kerja AdaptixC2

Langkah-langkah praktis dan indikator yang perlu diperhatikan

Organisasi dapat mengurangi paparan dengan memperketat kebersihan kemasan: verifikasi nama yang tepat sebelum pemasangan, meneliti repositori baru atau tidak populer, dan lacak saran keamanan untuk mencari tanda-tanda modul yang disusupi. Jika memungkinkan, versi pin, artefak yang telah diverifikasi, dan build gerbang dengan pemeriksaan kebijakan‑sebagai‑kode dan SBOM.

Paket kunci dan hash

  • Nama paket: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – paket hash
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

Indikator jaringan

  • cloudcenter[.]top/sys/perbarui
  • cloudcenter[.]atas/macos_update_arm
  • cloudcenter[.]atas/macos_update_x64
  • cloudcenter[.]atas/macosUpdate[.]plist
  • cloudcenter[.]atas/linux_update_x64
  • cloudcenter[.]atas/linux_update_arm

Meskipun paket npm yang bermasalah telah dihapus, tim harus audit instalasi ketergantungan terkini, berburu indikator di atas, dan meninjau sistem untuk biner tak terduga di C:\Windows\Tasks, Library/LaunchAgents, atau /tmp/.fonts-unix — terutama di mana skrip pasca-instal diizinkan untuk berjalan.

Indikator dan respons AdaptixC2

Kasus npm AdaptixC2 menyatukan peniruan yang kredibel, penerapan lintas platform otomatis, dan perkakas C2 yang mumpuni, yang menggambarkan bagaimana ketergantungan tunggal dapat membuka pintu menuju akses jangka panjang; kewaspadaan berkelanjutan seputar pemilihan paket, jalur pembuatan, dan telemetri sangat penting untuk menumpulkan gaya serangan ini.

Pos terkait: