Kaspersky พบว่า AdaptixC2 แพร่กระจายผ่าน npm typosquatting

การปรับปรุงครั้งล่าสุด: 10/22/2025
ผู้แต่ง: ซี ซอร์สเทรล
  • แพ็กเกจ npm ที่เป็นอันตราย "https-proxy-utils" ส่งมอบตัวแทน AdaptixC2 ผ่านสคริปต์หลังการติดตั้ง
  • การโจมตีใช้ typosquatting เพื่อเลียนแบบยูทิลิตี้พร็อกซีที่ดาวน์โหลดกันอย่างแพร่หลายในระบบนิเวศ npm
  • การส่งมอบแบบข้ามแพลตฟอร์มรองรับ Windows, macOS และ Linux พร้อมด้วยเพย์โหลดที่คำนึงถึงสถาปัตยกรรม
  • นักวิจัยเผยแพร่ IoC และคำแนะนำในการบรรเทาผลกระทบ โดยระบุว่าแพ็กเกจดังกล่าวถูกลบออกจาก npm

การโจมตีห่วงโซ่อุปทาน AdaptixC2

ในเดือนตุลาคม พ.ศ. 2025 นักวิเคราะห์ด้านความปลอดภัยของ Kaspersky ได้ให้รายละเอียด การประนีประนอมห่วงโซ่อุปทานที่กำหนดเป้าหมายระบบนิเวศ npm ที่ลักลอบนำเอเจนต์หลังการใช้ประโยชน์ AdaptixC2 เข้ามาผ่านแพ็กเกจที่มีลักษณะคล้ายกันชื่อ https-proxy-utils แพ็กเกจดังกล่าวแอบอ้างตัวเป็นตัวช่วยพร็อกซี แต่แอบดึงข้อมูลและรันเพย์โหลด AdaptixC2 ระหว่างการติดตั้ง

การดำเนินการที่พึ่งพาความคลาสสิก การพิมพ์ผิดในโมดูล npm ยอดนิยมโดยการเลียนแบบชื่อต่างๆ เช่น http-proxy-agent (มียอดดาวน์โหลด ~70 ล้านครั้งต่อสัปดาห์) และ https-proxy-agent (~90 ล้านครั้ง) รวมถึงการโคลนจาก proxy-from-env (~50 ล้านครั้ง) แพ็กเกจปลอมนี้จึงเพิ่มความน่าเชื่อถือ — จนกระทั่งสคริปต์หลังการติดตั้งที่ซ่อนอยู่ส่งมอบการควบคุมให้กับ AdaptixC2 เมื่อถึงเวลารายงาน ผู้แอบอ้างถูก ลบออกจากรีจิสทรี npm.

การส่งมอบเพย์โหลดข้ามแพลตฟอร์ม

ผู้สืบสวนรายงานว่าโปรแกรมติดตั้งได้รับการปรับให้เข้ากับระบบปฏิบัติการโฮสต์ด้วย การโหลดและการคงอยู่ที่แตกต่างกันบน Windows ตัวแทนมาถึงในรูปแบบ DLL ภายใต้ C:\Windows\Tasks. สคริปต์คัดลอกถูกต้องตามกฎหมาย msdtc.exe เข้าไปในไดเร็กทอรีนั้นและดำเนินการเพื่อโหลดไลบรารีที่เป็นอันตราย — รูปแบบที่แมปกับเทคนิค MITRE ATT&CK T1574.001 (การแฮ็กคำสั่งค้นหา DLL).

บน macOS สคริปต์จะวางไฟล์ปฏิบัติการลงใน Library/LaunchAgents และสร้าง plist สำหรับการทำงานอัตโนมัติก่อนดาวน์โหลด ลอจิกจะตรวจสอบตระกูล CPU และดึงรุ่นที่เหมาะสม x64 หรือ ARMเพื่อให้เหมาะสมกับระบบเป้าหมาย

โฮสต์ Linux ได้รับไบนารีที่ตรงกับสถาปัตยกรรมใน /tmp/.fonts-unixโดยที่สคริปต์จะตั้งค่าสิทธิ์การดำเนินการให้เริ่มต้นทันที การส่งมอบที่รองรับ CPU (x64/ARM) ทำให้แน่ใจว่าตัวแทนสามารถทำงานได้อย่างสม่ำเสมอในกองยานที่หลากหลาย

ข้ามแพลตฟอร์ม การเชื่อมต่อหลังการติดตั้งทำหน้าที่เป็น ทริกเกอร์อัตโนมัติไม่จำเป็นต้องมีการดำเนินการด้วยตนเองจากผู้ใช้หลังจากที่นักพัฒนาติดตั้งแพ็คเกจแล้ว ซึ่งเป็นเหตุผลสำคัญที่การใช้ห่วงโซ่อุปทานในทางที่ผิดในตัวจัดการแพ็คเกจยังคงก่อกวนอย่างมาก

กลยุทธ์ข้ามแพลตฟอร์มของ AdaptixC2

AdaptixC2 ช่วยให้ทำอะไรได้บ้างและเหตุใดจึงสำคัญ

เปิดตัวต่อสาธารณะครั้งแรกในช่วงต้นปี 2025 และพบเห็นการใช้งานในทางที่ผิดตั้งแต่ช่วงต้นฤดูใบไม้ผลิ AdaptixC2 ถูกจัดกรอบเป็น กรอบการทำงานหลังการใช้ประโยชน์ที่เทียบเคียงได้กับ Cobalt Strikeเมื่อฝังแล้ว ผู้ปฏิบัติงานสามารถเข้าถึงระยะไกล ดำเนินการคำสั่ง จัดการไฟล์และกระบวนการ และดำเนินการต่อไป ตัวเลือกการคงอยู่หลายแบบ.

คุณสมบัติเหล่านี้ช่วยให้ผู้โจมตีรักษาสิทธิ์การเข้าถึง ดำเนินการสำรวจ และดำเนินการติดตามผลภายในสภาพแวดล้อมของนักพัฒนาและโครงสร้างพื้นฐาน CI/CD กล่าวโดยสรุป การพึ่งพาที่ถูกดัดแปลงสามารถเปลี่ยนการติดตั้งแบบรูทีนให้กลายเป็น ฐานที่มั่นคงสำหรับการเคลื่อนไหวด้านข้าง.

เหตุการณ์ npm ยังสอดคล้องกับรูปแบบที่กว้างขึ้น เพียงไม่กี่สัปดาห์ก่อนหน้านี้ หนอน Shai-Hulud แพร่กระจายผ่านเทคนิคหลังการติดตั้งไปยังแพ็คเกจนับร้อย ซึ่งเน้นย้ำว่าผู้โจมตียังคงใช้อาวุธต่อไป ห่วงโซ่อุปทานโอเพนซอร์สที่เชื่อถือได้.

การวิเคราะห์ของ Kaspersky ระบุว่าการส่งมอบ npm เป็นการหลอกลวงที่น่าเชื่อถือว่า ฟังก์ชันพร็อกซีจริงแบบผสมผสาน ด้วยตรรกะการติดตั้งที่ซ่อนอยู่ การผสมผสานนี้ทำให้การตรวจจับภัยคุกคามทำได้ยากขึ้นระหว่างการตรวจสอบโค้ดหรือข้อมูลเมตาของแพ็กเกจแบบคร่าวๆ

ภาพรวมกรอบงาน AdaptixC2

ขั้นตอนปฏิบัติและตัวชี้วัดที่ควรดู

องค์กรสามารถลดการสัมผัสได้โดยการควบคุมสุขอนามัยของบรรจุภัณฑ์ให้เข้มงวดยิ่งขึ้น: ตรวจสอบชื่อที่แน่นอนก่อนการติดตั้ง ตรวจสอบคลังข้อมูลใหม่หรือที่ไม่เป็นที่นิยมและติดตามคำแนะนำด้านความปลอดภัยสำหรับสัญญาณของโมดูลที่ถูกบุกรุก หากเป็นไปได้ ให้ปักหมุดเวอร์ชัน อาร์ติแฟกต์ที่ผ่านการตรวจสอบมิเรอร์ และเกตบิลด์ด้วย นโยบายตามรหัสและการตรวจสอบ SBOM.

แพ็คเกจคีย์และแฮช

  • ชื่อแพ็กเกจ: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – แพ็คเกจแฮช
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

ตัวบ่งชี้เครือข่าย

  • cloudcenter[.]top/sys/อัปเดต
  • cloudcenter[.]ด้านบน/macos_update_arm
  • cloudcenter[.]ด้านบน/macos_update_x64
  • cloudcenter[.]top/macosUpdate[.]plist
  • cloudcenter[.]ด้านบน/linux_update_x64
  • cloudcenter[.]ด้านบน/linux_update_arm

แม้ว่าแพ็กเกจ npm ที่ทำให้เกิดปัญหาจะถูกปิดลงแล้ว แต่ทีมงานควร ตรวจสอบการติดตั้งการอ้างอิงล่าสุดค้นหาตัวบ่งชี้ข้างต้น และตรวจสอบระบบสำหรับไบนารีที่ไม่คาดคิดใน C:\Windows\Tasks, Library/LaunchAgentsหรือ /tmp/.fonts-unix — โดยเฉพาะเมื่อ สคริปต์หลังการติดตั้ง ได้รับอนุญาตให้ดำเนินการได้

ตัวบ่งชี้และการตอบสนองของ AdaptixC2

กรณี AdaptixC2 npm นำเอา การปลอมแปลงที่น่าเชื่อถือ การปรับใช้ข้ามแพลตฟอร์มอัตโนมัติ และเครื่องมือ C2 ที่มีประสิทธิภาพแสดงให้เห็นว่าการพึ่งพาเพียงครั้งเดียวสามารถเปิดประตูสู่การเข้าถึงระยะยาวได้อย่างไร การเฝ้าระวังอย่างต่อเนื่องเกี่ยวกับการเลือกแพ็คเกจ การสร้างท่อ และการวัดระยะไกลมีความจำเป็นเพื่อลดการโจมตีรูปแบบนี้

กระทู้ที่เกี่ยวข้อง: