- Il pacchetto npm dannoso "https-proxy-utils" ha distribuito l'agente AdaptixC2 tramite uno script post-installazione.
- L'attacco ha utilizzato il typosquatting per imitare le utility proxy ampiamente scaricate nell'ecosistema npm.
- La distribuzione multipiattaforma supporta Windows, macOS e Linux con payload consapevoli dell'architettura.
- I ricercatori hanno pubblicato IoC e suggerimenti per la mitigazione, sottolineando che il pacchetto è stato rimosso da npm.
Nell'ottobre 2025, gli analisti della sicurezza di Kaspersky hanno dettagliato un compromesso della catena di fornitura che prende di mira l'ecosistema npm che ha introdotto clandestinamente l'agente di post-exploitation AdaptixC2 tramite un pacchetto simile denominato https-proxy-utils. Il pacchetto si spacciava per un proxy helper, ma recuperava ed eseguiva silenziosamente un payload AdaptixC2 durante l'installazione.
L'operazione si è basata sul classico typosquatting contro i moduli npm più diffusiRiprendendo nomi come http-proxy-agent (~70 milioni di download settimanali) e https-proxy-agent (~90 milioni), e clonando il comportamento da proxy-from-env (~50 milioni), il pacchetto rogue ha aumentato la sua credibilità, finché lo script nascosto di post-installazione non ha ceduto il controllo ad AdaptixC2. Al momento della segnalazione, l'impostore era stato rimosso dal registro npm.
Consegna del carico multipiattaforma
Gli investigatori segnalano che il programma di installazione si è adattato al sistema operativo host con distinte routine di caricamento e persistenzaSu Windows, l'agente è arrivato come DLL sotto C:\Windows\TasksLo script ha copiato il legittimo msdtc.exe in quella directory ed eseguito per caricare lateralmente la libreria dannosa, un modello mappato alla tecnica MITRE ATT&CK T1574.001 (Dirottamento dell'ordine di ricerca DLL).
Su macOS, lo script ha inserito un eseguibile in Library/LaunchAgents e ha creato un file plist per l'esecuzione automaticaPrima del download, la logica ha controllato la famiglia della CPU e ha recuperato la build appropriata, x64 o ARM, per adattarsi al sistema di destinazione.
Gli host Linux hanno ricevuto un binario corrispondente all'architettura in /tmp/.fonts-unix, dove lo script imposta i permessi di esecuzione per l'avvio immediato. Che Consegna basata sulla CPU (x64/ARM) ha garantito che l'agente potesse funzionare in modo coerente su flotte diverse.
Su tutte le piattaforme, il gancio post-installazione ha agito come un grilletto automatico, non richiedendo alcuna azione manuale da parte dell'utente una volta che lo sviluppatore ha installato il pacchetto: una delle ragioni principali per cui l'abuso della supply chain nei gestori di pacchetti continua a essere così destabilizzante.
Cosa consente AdaptixC2 e perché è importante
Reso pubblico per la prima volta all'inizio del 2025, e visto in uso dannoso già in primavera, AdaptixC2 è inquadrato come un quadro post-sfruttamento paragonabile a Cobalt StrikeUna volta impiantati, gli operatori possono eseguire l'accesso remoto, l'esecuzione di comandi, la gestione di file e processi e perseguire più opzioni di persistenza.
Queste funzionalità aiutano gli avversari a mantenere l'accesso, eseguire ricognizioni e organizzare azioni di follow-on all'interno degli ambienti di sviluppo e dell'infrastruttura CI/CD. In breve, una dipendenza manomessa può trasformare un'installazione di routine in un punto d'appoggio affidabile per il movimento laterale.
L'incidente di npm rientra anche in uno schema più ampio. Solo poche settimane prima, il Verme Shai-Hulud si è diffuso tramite tecniche post-installazione a centinaia di pacchetti, sottolineando come gli aggressori continuino a usare il malware come arma catene di fornitura open source affidabili.
L'analisi di Kaspersky attribuisce la distribuzione di npm a un impostore convincente che funzionalità proxy reale combinata con logica di installazione nascosta. Questa combinazione ha reso la minaccia più difficile da individuare durante le revisioni casuali del codice o dei metadati del pacchetto.
Passaggi pratici e indicatori da tenere d'occhio
Le organizzazioni possono ridurre l'esposizione rafforzando l'igiene delle confezioni: verificare i nomi esatti prima dell'installazione, esaminare attentamente i repository nuovi o impopolarie monitorare gli avvisi di sicurezza per individuare segnali di moduli compromessi. Ove possibile, le versioni dei pin, gli artefatti sottoposti a mirroring e le build dei gate con controlli policy-as-code e SBOM.
Pacchetto chiave e hash
- Nome del pacchetto: https-proxy-utils
- DFBC0606E16A89D980C9B674385B448E – hash del pacchetto
- B8E27A88730B124868C1390F3BC42709
- 669BDBEF9E92C3526302CA37DC48D21F
- EDAC632C9B9FF2A2DA0EACAAB63627F4
- 764C9E6B6F38DF11DC752CB071AE26F9
- 04931B7DFD123E6026B460D87D842897
Indicatori di rete
- cloudcenter[.]top/sys/update
- cloudcenter[.]top/macos_update_arm
- cloudcenter[.]top/macos_update_x64
- cloudcenter[.]top/macosUpdate[.]plist
- cloudcenter[.]top/linux_update_x64
- cloudcenter[.]top/linux_update_arm
Sebbene il pacchetto npm incriminato sia stato rimosso, i team dovrebbero controlla le installazioni recenti delle dipendenze, cerca gli indicatori di cui sopra e rivedi i sistemi per binari inaspettati in C:\Windows\Tasks, Library/LaunchAgents, o /tmp/.fonts-unix — soprattutto dove script post-installazione era consentito loro di correre.
Il caso AdaptixC2 npm riunisce impersonificazione credibile, distribuzione multipiattaforma automatizzata e strumenti C2 efficienti, che illustra come una singola dipendenza possa aprire la porta a un accesso duraturo; una vigilanza costante sulla selezione dei pacchetti, sulle pipeline di compilazione e sulla telemetria è essenziale per smussare questo tipo di attacco.
