Киберпреступники распространяют фреймворк AdaptixC2 через пакеты npm

Первая версия фреймворка AdaptixC2, который позиционируется как альтернатива известному инструменту Cobalt Strike, стала публично доступной в начале 2025 года. Уже весной того же года фреймворк впервые был замечен в злонамеренных кампаниях. Однако в октябре 2025 года специалисты "Лаборатории Касперского" обнаружили, что экосистема npm содержит вредоносный пакет, который на момент публикации отчета уже был удален из реестра.

Название пакета https-proxy-utils было тщательно подобрано для максимального сходства с популярными легитимными пакетами http-proxy-agent (около 70 миллионов загрузок в неделю) и https-proxy-agent (примерно 90 миллионов загрузок еженедельно). Функциональность, связанная с работой прокси-серверов, была скопирована с другого популярного пакета proxy-from-env, который насчитывает 50 миллионов еженедельных загрузок. Критическим отличием стало наличие в вредоносном пакете пост-инсталляционного скрипта, который загружал и исполнял полезную нагрузку, содержащую агент AdaptixC2.

Особенностью данной атаки стала кроссплатформенная адаптация механизма доставки. Злоумышленники реализовали различные методы доставки полезной нагрузки для Windows, Linux и macOS. В каждой операционной системе использовались специфические техники с использованием системных или пользовательских директорий для загрузки и запуска импланта.

В среде Windows агент AdaptixC2 доставляется в виде DLL-файла в системную директорию C:\Windows\Tasks с последующим выполнением через технику DLL sideloading. JavaScript-скрипт копирует легитимный файл msdtc.exe в ту же директорию и исполняет его, что приводит к загрузке вредоносной DLL. В macOS скрипт загружает полезную нагрузку в виде исполняемого файла в автозагружаемую директорию пользователя Library/LaunchAgents, дополнительно размещая там же plist-файл конфигурации автозапуска. Перед загрузкой AdaptixC2 скрипт проверяет архитектуру целевой системы (x64 или ARM) и выбирает соответствующую версию полезной нагрузки. В Linux агент фреймворка доставляется во временную директорию /tmp/.fonts-unix в виде бинарного файла, адаптированного под конкретную архитектуру, с последующим назначением прав на выполнение.

После успешного развертывания агента фреймворка AdaptixC2 на устройстве жертвы злоумышленник получает возможности удаленного доступа, выполнения команд, управления файлами и процессами, а также различные методы достижения персистентности. Это позволяет атакующему не только сохранять постоянный доступ к системе, но и проводить разведку сети и развертывать последующие этапы атаки.

Данный инцидент не является первым случаем атаки на реестр npm за последнее время. Месяцем ранее похожие методы заражения с использованием пост-инсталляционных скриптов были применены в громком инциденте с червем Shai-Hulud, который инфицировал более 500 пакетов. Случай с AdaptixC2 наглядно демонстрирует растущую тенденцию злоупотребления экосистемами открытого программного обеспечения, такими как npm, в качестве вектора атаки. Злоумышленники все чаще используют доверенную цепочку поставок открытого ПО для распространения агентов пост-эксплуатационных фреймворков и других форм вредоносного программного обеспечения.

Пользователи и организации, занимающиеся разработкой или использующие открытое программное обеспечение из экосистем вроде npm в своих продуктах, подвержены данной угрозе. Для обеспечения безопасности эксперты рекомендуют проявлять бдительность при установке модулей открытого ПО: проверять точное название загружаемого пакета и более тщательно проверять непопулярные и новые репозитории. При использовании популярных модулей критически важно отслеживать регулярно обновляемые ленты с информацией о скомпрометированных пакетах и библиотеках. Растущая сложность атак через цепочку поставок программного обеспечения требует от разработчиков и компаний внедрения более строгих процедур проверки зависимостей и мониторинга уязвимостей в используемых компонентах.

URLs

• cloudcenter.top/linux_update_arm
• cloudcenter.top/linux_update_x64
• cloudcenter.top/macos_update_arm
• cloudcenter.top/macos_update_x64
• cloudcenter.top/macosUpdate.plist
• cloudcenter.top/sys/update

MD5

• 04931b7dfd123e6026b460d87d842897
• 669bdbef9e92c3526302ca37dc48d21f
• 764c9e6b6f38df11dc752cb071ae26f9
• b8e27a88730b124868c1390f3bc42709
• dfbc0606e16a89d980c9b674385b448e
• edac632c9b9ff2a2da0eacaab63627f4

Package name

• https-proxy-utils