- Автор темы
- #1
Специалисты «Лаборатории Касперского» обнаружили в npm вредоносный пакет https-proxy-utils. Он был замаскирован под легитимные инструменты для использования прокси в проектах и позволял установить на скомпрометированные устройства разработчиков фреймворк AdaptixC2 — опенсорсный аналог известного Cobalt Strike. На данный момент вредоносный пакет удален.
Фреймворк AdaptixC2 появился в 2024 году и создавался как замена для Cobalt Strike и опенсорсного Havoc. Adaptix представляет собой расширяемый фреймворк для постэксплуатации, разработанный специально для пентестеров и red team. Сервер Adaptix написан на Golang, клиентский графический интерфейс — на C++ и Qt, что позволяет использовать его в Linux, Windows и macOS.
Как и Cobalt Strike, он может эксплуатироваться злоумышленниками, а в марте 2025 года был замечен в реальных инцидентах.
Название обнаруженного в npm пакета напоминает имена популярных легитимных файлов http-proxy-agent и https-proxy-agent, которые насчитывают приблизительно 70 и 90 млн загрузок в неделю.
Внутри скрывался постинсталляционный скрипт, который скачивал и запускал AdaptixC2. Это позволяло злоумышленникам получать удаленный доступ к зараженному устройству, управлять файлами и процессами, а также закрепляться в системе, чтобы проводить анализ сети и разворачивать последующие стадии атаки.
Атакующие меняли способ загрузки AdaptixC2 в зависимости от того, на какой операционной системе работает устройство — Windows, Linux или macOS.
Например, в системах под управлением Windows они загружали AdaptixC2 в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускали при помощи техники DLL Sideloading (когда вредоносная библиотека DLL распространяется вместе с легитимным приложением, которое ее выполняет). Для этого JS-скрипт копирует легитимный файл msdtc.exe в ту же директорию и выполняет его, что в свою очередь загружает вредоносную библиотеку.
В macOS скрипт загружает полезную нагрузку в виде исполняемого файла в пользовательскую директорию автозапуска Library/LaunchAgents. В эту же директорию postinstall.js загружает файл конфигурации для автозапуска plist. Перед загрузкой AdaptixC2 скрипт проверяет целевую архитектуру — x64 или ARM — и в зависимости от нее скачивает соответствующую полезную нагрузку.
Что касается Linux, агент фреймворка загружается во временную директорию /tmp/.fonts-unix. Скрипт обеспечивает доставку бинарного файла, ориентированного под конкретную архитектуру (x64 или ARM), после чего присваивает ему права на исполнение.
Фреймворк AdaptixC2 появился в 2024 году и создавался как замена для Cobalt Strike и опенсорсного Havoc. Adaptix представляет собой расширяемый фреймворк для постэксплуатации, разработанный специально для пентестеров и red team. Сервер Adaptix написан на Golang, клиентский графический интерфейс — на C++ и Qt, что позволяет использовать его в Linux, Windows и macOS.
Как и Cobalt Strike, он может эксплуатироваться злоумышленниками, а в марте 2025 года был замечен в реальных инцидентах.
Название обнаруженного в npm пакета напоминает имена популярных легитимных файлов http-proxy-agent и https-proxy-agent, которые насчитывают приблизительно 70 и 90 млн загрузок в неделю.
Внутри скрывался постинсталляционный скрипт, который скачивал и запускал AdaptixC2. Это позволяло злоумышленникам получать удаленный доступ к зараженному устройству, управлять файлами и процессами, а также закрепляться в системе, чтобы проводить анализ сети и разворачивать последующие стадии атаки.
Атакующие меняли способ загрузки AdaptixC2 в зависимости от того, на какой операционной системе работает устройство — Windows, Linux или macOS.
Например, в системах под управлением Windows они загружали AdaptixC2 в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускали при помощи техники DLL Sideloading (когда вредоносная библиотека DLL распространяется вместе с легитимным приложением, которое ее выполняет). Для этого JS-скрипт копирует легитимный файл msdtc.exe в ту же директорию и выполняет его, что в свою очередь загружает вредоносную библиотеку.
В macOS скрипт загружает полезную нагрузку в виде исполняемого файла в пользовательскую директорию автозапуска Library/LaunchAgents. В эту же директорию postinstall.js загружает файл конфигурации для автозапуска plist. Перед загрузкой AdaptixC2 скрипт проверяет целевую архитектуру — x64 или ARM — и в зависимости от нее скачивает соответствующую полезную нагрузку.
Что касается Linux, агент фреймворка загружается во временную директорию /tmp/.fonts-unix. Скрипт обеспечивает доставку бинарного файла, ориентированного под конкретную архитектуру (x64 или ARM), после чего присваивает ему права на исполнение.