Фреймворк для постэксплуатации AdaptixC2 нашли во вредоносном npm-пакете

Специалисты «Лаборатории Касперского» обнаружили в npm вредоносный пакет https-proxy-utils. Он был замаскирован под легитимные инструменты для использования прокси в проектах и позволял установить на скомпрометированные устройства разработчиков фреймворк AdaptixC2 — опенсорсный аналог известного Cobalt Strike. На данный момент вредоносный пакет удален.

Фреймворк AdaptixC2 появился в 2024 году и создавался как замена для Cobalt Strike и опенсорсно­го Havoc. Adaptix представляет собой рас­ширя­емый фрей­мворк для пос­тэкс­плу­ата­ции, раз­работан­ный спе­циаль­но для пен­тесте­ров и red team. Сер­вер Adaptix написан на Golang, кли­ент­ский гра­фичес­кий интерфейс — на C++ и Qt, что поз­воля­ет исполь­зовать его в Linux, Windows и macOS.

Как и Cobalt Strike, он может эксплуатироваться злоумышленниками, а в марте 2025 года был замечен в реальных инцидентах.

Название обнаруженного в npm пакета напоминает имена популярных легитимных файлов http-proxy-agent и https-proxy-agent, которые насчитывают приблизительно 70 и 90 млн загрузок в неделю.

Внутри скрывался постинсталляционный скрипт, который скачивал и запускал AdaptixC2. Это позволяло злоумышленникам получать удаленный доступ к зараженному устройству, управлять файлами и процессами, а также закрепляться в системе, чтобы проводить анализ сети и разворачивать последующие стадии атаки.

Атакующие меняли способ загрузки AdaptixC2 в зависимости от того, на какой операционной системе работает устройство — Windows, Linux или macOS.

Например, в системах под управлением Windows они загружали AdaptixC2 в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускали при помощи техники DLL Sideloading (когда вредоносная библиотека DLL распространяется вместе с легитимным приложением, которое ее выполняет).  Для этого JS-скрипт копирует легитимный файл msdtc.exe в ту же директорию и выполняет его, что в свою очередь загружает вредоносную библиотеку.

В macOS скрипт загружает полезную нагрузку в виде исполняемого файла в пользовательскую директорию автозапуска Library/LaunchAgents. В эту же директорию postinstall.js загружает файл конфигурации для автозапуска plist. Перед загрузкой AdaptixC2 скрипт проверяет целевую архитектуру — x64 или ARM — и в зависимости от нее скачивает соответствующую полезную нагрузку.

Что касается Linux, агент фреймворка загружается во временную директорию /tmp/.fonts-unix. Скрипт обеспечивает доставку бинарного файла, ориентированного под конкретную архитектуру (x64 или ARM), после чего присваивает ему права на исполнение.

«Инцидент с AdaptixC2 демонстрирует растущую тенденцию использования хранилищ открытого программного обеспечения в качестве вектора атак. Подобным угрозам подвержены пользователи и организации, занимающиеся разработкой или применяющие опенсорсное ПО из таких экосистем, как npm, в своих продуктах, — комментирует Владимир Гурский, исследователь угроз в „Лаборатории Касперского“. — Мы также видим, что злоумышленники берут на заметку все более сложные методы для сокрытия известных инструментов. В описанной кампании они применяли технику DLL Sideloading, которая становится все более популярной и замечена в инцидентах как в России, так и в других странах. Например, с ее помощью распространяется опасный стилер Lumma. Эту технику довольно сложно обнаружить без использования современных средств защиты и ИИ-технологий».

Данные о правообладателе фото и видеоматериалов взяты с сайта «Хакер», подробнее в Условиях использования
Анализ
×
Гурский Владимир
АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО"
Сфера деятельности:Национальные чемпионы
77
ТЭКС
Компании
ЦИИ
Компании