કેસ્પરસ્કીએ npm ટાઇપોસ્ક્વેટિંગ દ્વારા AdaptixC2 ફેલાવો શોધ્યો

છેલ્લો સુધારો: 10/22/2025
લેખક: સી સોર્સટ્રેલ
  • દૂષિત npm પેકેજ "https-proxy-utils" એ ઇન્સ્ટોલ પછીની સ્ક્રિપ્ટ દ્વારા AdaptixC2 એજન્ટ પહોંચાડ્યો.
  • એટેકે npm ઇકોસિસ્ટમમાં વ્યાપકપણે ડાઉનલોડ થયેલ પ્રોક્સી ઉપયોગિતાઓની નકલ કરવા માટે ટાઇપોસ્ક્વેટિંગનો ઉપયોગ કર્યો.
  • ક્રોસ-પ્લેટફોર્મ ડિલિવરી વિન્ડોઝ, મેકઓએસ અને લિનક્સને આર્કિટેક્ચર-જાગૃત પેલોડ્સ સાથે સપોર્ટ કરતી હતી.
  • સંશોધકોએ IoCs અને શમન ટિપ્સ પ્રકાશિત કરી, જેમાં નોંધ્યું કે પેકેજને npm માંથી દૂર કરવામાં આવ્યું હતું.

AdaptixC2 સપ્લાય ચેઇન હુમલો

ઓક્ટોબર 2025 માં, કેસ્પરસ્કીના સુરક્ષા વિશ્લેષકોએ વિગતવાર જણાવ્યું કે npm ઇકોસિસ્ટમને લક્ષ્ય બનાવતી સપ્લાય ચેઇન સમાધાન જેણે https-proxy-utils નામના સમાન દેખાતા પેકેજ દ્વારા શોષણ પછીના AdaptixC2 એજન્ટની દાણચોરી કરી હતી. પેકેજ પ્રોક્સી હેલ્પર તરીકે રજૂ થયું હતું પરંતુ શાંતિથી ઇન્સ્ટોલેશન દરમિયાન AdaptixC2 પેલોડ મેળવ્યું અને ચલાવ્યું.

ઓપરેશન ક્લાસિક પર આધાર રાખતું હતું લોકપ્રિય npm મોડ્યુલો સામે ટાઇપોસ્ક્વેટિંગ. http-proxy-agent (~70 મિલિયન સાપ્તાહિક ડાઉનલોડ્સ) અને https-proxy-agent (~90 મિલિયન) જેવા નામોનો ઉપયોગ કરીને, અને proxy-from-env (~50 મિલિયન) માંથી ક્લોનિંગ વર્તન દ્વારા, ઠગ પેકેજે તેની વિશ્વસનીયતામાં વધારો કર્યો - જ્યાં સુધી છુપાયેલ પોસ્ટ-ઇન્સ્ટોલ સ્ક્રિપ્ટે AdaptixC2 ને નિયંત્રણ સોંપ્યું નહીં. રિપોર્ટિંગ સમયે, ઢોંગી npm રજિસ્ટ્રીમાંથી દૂર કર્યું.

ક્રોસ-પ્લેટફોર્મ પેલોડ ડિલિવરી

તપાસકર્તાઓ અહેવાલ આપે છે કે ઇન્સ્ટોલર હોસ્ટ OS સાથે અનુકૂલિત થયું હતું અલગ લોડિંગ અને સતત દિનચર્યાઓ. વિન્ડોઝ પર, એજન્ટ DLL તરીકે આવ્યો હતો C:\Windows\Tasks. સ્ક્રિપ્ટે કાયદેસરની નકલ કરી msdtc.exe ફાઇલ તે ડિરેક્ટરીમાં દાખલ થયો અને દૂષિત લાઇબ્રેરીને સાઇડલોડ કરવા માટે તેને એક્ઝિક્યુટ કર્યો - MITRE ATT&CK ટેકનિક સાથે મેપ કરેલ પેટર્ન T1574.001 (DLL શોધ ઓર્ડર હાઇજેકિંગ).

macOS પર, સ્ક્રિપ્ટે એક્ઝિક્યુટેબલને આમાં છોડી દીધું Library/LaunchAgents અને એ બનાવ્યું ઓટોરન માટે પ્લિસ્ટ. ડાઉનલોડ કરતા પહેલા, લોજિકે CPU ફેમિલી તપાસી અને યોગ્ય બિલ્ડ મેળવ્યું, x64 અથવા ARM, લક્ષ્ય સિસ્ટમમાં ફિટ થવા માટે.

Linux હોસ્ટ્સને આર્કિટેક્ચર-મેળ ખાતી બાઈનરી મળી /tmp/.fonts-unix, જ્યાં સ્ક્રિપ્ટ તાત્કાલિક શરૂઆત માટે એક્ઝિક્યુટ પરવાનગીઓ સેટ કરે છે. તે CPU-અવેર ડિલિવરી (x64/ARM) ખાતરી કરી કે એજન્ટ વિવિધ કાફલાઓમાં સતત દોડી શકે.

પ્લેટફોર્મ પર, ઇન્સ્ટોલ-પછીના હૂકે એક તરીકે કાર્ય કર્યું ઓટોમેટિક ટ્રિગર, ડેવલપર દ્વારા પેકેજ ઇન્સ્ટોલ કર્યા પછી કોઈ મેન્યુઅલ વપરાશકર્તા ક્રિયાની જરૂર નથી - પેકેજ મેનેજરોમાં સપ્લાય ચેઇનનો દુરુપયોગ આટલો વિક્ષેપજનક રહે છે તેનું મુખ્ય કારણ.

AdaptixC2 ક્રોસ-પ્લેટફોર્મ યુક્તિઓ

AdaptixC2 શું સક્ષમ કરે છે અને આ શા માટે મહત્વનું છે

સૌપ્રથમ 2025 ની શરૂઆતમાં જાહેર કરવામાં આવ્યું - અને વસંતઋતુની શરૂઆતમાં દુર્ભાવનાપૂર્ણ ઉપયોગમાં જોવા મળ્યું - AdaptixC2 ને એક તરીકે ઘડવામાં આવ્યું છે શોષણ પછીનું માળખું કોબાલ્ટ સ્ટ્રાઈક સાથે તુલનાત્મક. એકવાર ઇમ્પ્લાન્ટ થયા પછી, ઓપરેટરો રિમોટ એક્સેસ, કમાન્ડ એક્ઝિક્યુશન, ફાઇલ અને પ્રક્રિયા વ્યવસ્થાપન કરી શકે છે, અને અનુસરી શકે છે બહુવિધ દ્રઢતા વિકલ્પો.

આ સુવિધાઓ પ્રતિસ્પર્ધીઓને ડેવલપર વાતાવરણ અને CI/CD ઈન્ફ્રાસ્ટ્રક્ચરની અંદર ઍક્સેસ જાળવી રાખવા, રિકોનિસન્સ ચલાવવા અને ફોલો-ઓન ક્રિયાઓ કરવામાં મદદ કરે છે. ટૂંકમાં, ચેડા કરાયેલી નિર્ભરતા નિયમિત ઇન્સ્ટોલને એકમાં ફેરવી શકે છે બાજુની હિલચાલ માટે વિશ્વસનીય પગથિયું.

npm ઘટના પણ એક વ્યાપક પેટર્નમાં બંધબેસે છે. થોડા અઠવાડિયા પહેલા, શાઈ-હુલુદ વોર્મ પોસ્ટ-ઇન્સ્ટોલ તકનીકો દ્વારા સેંકડો પેકેજોમાં ફેલાય છે, જે દર્શાવે છે કે હુમલાખોરો કેવી રીતે હથિયાર બનાવવાનું ચાલુ રાખે છે વિશ્વસનીય ઓપન-સોર્સ સપ્લાય ચેઇન.

કેસ્પરસ્કીનું વિશ્લેષણ npm ડિલિવરીને એક વિશ્વાસપાત્ર ઢોંગીને આભારી છે કે મિશ્રિત વાસ્તવિક પ્રોક્સી કાર્યક્ષમતા છુપાયેલા ઇન્સ્ટોલેશન લોજિક સાથે. આ સંયોજને કોડ અથવા પેકેજ મેટાડેટાની કેઝ્યુઅલ સમીક્ષાઓ દરમિયાન ધમકીને શોધવાનું મુશ્કેલ બનાવ્યું.

AdaptixC2 ફ્રેમવર્ક ઝાંખી

વ્યવહારુ પગલાં અને જોવા માટેના સૂચકાંકો

સંસ્થાઓ પેકેજ સ્વચ્છતાને કડક બનાવીને એક્સપોઝર ઘટાડી શકે છે: ઇન્સ્ટોલેશન પહેલાં ચોક્કસ નામો ચકાસો, નવા અથવા અપ્રિય ભંડારોની તપાસ કરો, અને ચેડા થયેલા મોડ્યુલોના સંકેતો માટે સુરક્ષા સલાહકારોને ટ્રૅક કરો. જ્યાં શક્ય હોય ત્યાં, પિન વર્ઝન, મિરર વેટેડ આર્ટિફેક્ટ્સ અને ગેટ બિલ્ડ્સ કોડ તરીકે નીતિ અને SBOM તપાસ.

કી પેકેજ અને હેશ

  • પેકેજ નામ: https-પ્રોક્સી-ઉપયોગિતાઓ
  • DFBC0606E16A89D980C9B674385B448E - પેકેજ હેશ
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

નેટવર્ક સૂચકો

  • ક્લાઉડસેન્ટર[.]ટોપ/sys/અપડેટ
  • ક્લાઉડસેન્ટર[.]ટોચ/મેકોસ_અપડેટ_આર્મ
  • ક્લાઉડસેન્ટર[.]ટોચ/મેકોસ_અપડેટ_એક્સ64
  • ક્લાઉડસેન્ટર[.]ટોચ/મેકોસઅપડેટ[.]પ્લિસ્ટ
  • ક્લાઉડસેન્ટર[.]ટોચ/લિનક્સ_અપડેટ_એક્સ64
  • ક્લાઉડસેન્ટર[.]ટોચ/લિનક્સ_અપડેટ_આર્મ

જ્યારે વાંધાજનક npm પેકેજ દૂર કરવામાં આવ્યું છે, ત્યારે ટીમોએ તાજેતરના ડિપેન્ડન્સી ઇન્સ્ટોલનું ઑડિટ કરો, ઉપરોક્ત સૂચકાંકો શોધો, અને અનપેક્ષિત દ્વિસંગીઓ માટે સિસ્ટમોની સમીક્ષા કરો C:\Windows\Tasks, Library/LaunchAgents, અથવા /tmp/.fonts-unix - ખાસ કરીને જ્યાં ઇન્સ્ટોલ પછીની સ્ક્રિપ્ટો ચલાવવાની પરવાનગી આપવામાં આવી હતી.

AdaptixC2 સૂચકાંકો અને પ્રતિભાવ

AdaptixC2 npm કેસ એકસાથે લાવે છે વિશ્વસનીય ઢોંગ, સ્વચાલિત ક્રોસ-પ્લેટફોર્મ ડિપ્લોયમેન્ટ, અને સક્ષમ C2 ટૂલિંગ, એક જ નિર્ભરતા લાંબા ગાળાની ઍક્સેસ માટે કેવી રીતે દ્વાર ખોલી શકે છે તે દર્શાવતું; આ પ્રકારના હુમલાને રોકવા માટે પેકેજ પસંદગી, બિલ્ડ પાઇપલાઇન્સ અને ટેલિમેટ્રીની આસપાસ સતત તકેદારી રાખવી જરૂરી છે.

સંબંધિત પોસ્ટ્સ: