- दुर्भावनापूर्ण npm पैकेज "https-proxy-utils" ने पोस्ट-इंस्टॉल स्क्रिप्ट के माध्यम से AdaptixC2 एजेंट वितरित किया।
- अटैक ने एनपीएम पारिस्थितिकी तंत्र में व्यापक रूप से डाउनलोड की गई प्रॉक्सी उपयोगिताओं की नकल करने के लिए टाइपोस्क्वैटिंग का उपयोग किया।
- क्रॉस-प्लेटफ़ॉर्म डिलीवरी ने आर्किटेक्चर-अवेयर पेलोड के साथ विंडोज, मैकओएस और लिनक्स का समर्थन किया।
- शोधकर्ताओं ने IoCs और शमन युक्तियाँ प्रकाशित कीं, तथा बताया कि पैकेज को npm से हटा दिया गया है।
अक्टूबर 2025 में, कैस्परस्की के सुरक्षा विश्लेषकों ने एक विस्तृत जानकारी दी एनपीएम पारिस्थितिकी तंत्र को लक्षित करने वाली आपूर्ति श्रृंखला समझौता जिसने https-proxy-utils नाम के एक समान दिखने वाले पैकेज के ज़रिए AdaptixC2 पोस्ट-एक्सप्लॉइटेशन एजेंट की तस्करी की। यह पैकेज एक प्रॉक्सी हेल्पर के रूप में सामने आया, लेकिन इंस्टॉलेशन के दौरान चुपचाप एक AdaptixC2 पेलोड को प्राप्त करके चला दिया।
ऑपरेशन क्लासिक पर आधारित था लोकप्रिय npm मॉड्यूल के विरुद्ध टाइपोस्क्वैटिंगhttp-proxy-agent (~70 मिलियन साप्ताहिक डाउनलोड) और https-proxy-agent (~90 मिलियन) जैसे नामों की पुनरावृत्ति करके, और proxy-from-env (~50 मिलियन) से क्लोनिंग व्यवहार करके, इस धोखेबाज़ पैकेज ने अपनी विश्वसनीयता बढ़ा ली थी—जब तक कि छिपी हुई पोस्ट-इंस्टॉल स्क्रिप्ट ने AdaptixC2 को नियंत्रण नहीं सौंप दिया। रिपोर्ट करने के समय, जालसाज़ एनपीएम रजिस्ट्री से हटा दिया गया.
क्रॉस-प्लेटफ़ॉर्म पेलोड वितरण
जांचकर्ताओं ने बताया कि इंस्टॉलर ने होस्ट ओएस के साथ अनुकूलन किया अलग लोडिंग और दृढ़ता रूटीनविंडोज़ पर, एजेंट एक DLL के रूप में आया C:\Windows\Tasksस्क्रिप्ट ने वैध की नकल की msdtc.exe उस निर्देशिका में जाकर दुर्भावनापूर्ण लाइब्रेरी को साइडलोड करने के लिए इसे निष्पादित किया - एक पैटर्न जो MITRE ATT&CK तकनीक से मैप किया गया है T1574.001 (DLL खोज आदेश अपहरण).
macOS पर, स्क्रिप्ट ने एक निष्पादन योग्य को छोड़ दिया Library/LaunchAgents और एक बनाया ऑटोरन के लिए plistडाउनलोड से पहले, लॉजिक ने CPU परिवार की जाँच की और उपयुक्त बिल्ड को पुनः प्राप्त किया, x64 या ARM, लक्ष्य प्रणाली को फिट करने के लिए।
लिनक्स होस्ट्स को आर्किटेक्चर-मिलान बाइनरी प्राप्त हुआ /tmp/.fonts-unix, जहाँ स्क्रिप्ट तत्काल प्रारंभ के लिए निष्पादन अनुमतियाँ सेट करती है। CPU-जागरूक डिलीवरी (x64/ARM) यह सुनिश्चित किया गया कि एजेंट विभिन्न बेड़े में लगातार काम कर सके।
सभी प्लेटफार्मों पर, पोस्ट-इंस्टॉल हुक ने एक के रूप में कार्य किया स्वचालित ट्रिगरडेवलपर द्वारा पैकेज स्थापित करने के बाद, इसमें उपयोगकर्ता द्वारा कोई मैन्युअल कार्रवाई की आवश्यकता नहीं होती है - यही एक प्रमुख कारण है कि पैकेज प्रबंधकों में आपूर्ति श्रृंखला का दुरुपयोग इतना विघटनकारी बना हुआ है।
AdaptixC2 क्या सक्षम बनाता है और यह क्यों महत्वपूर्ण है
पहली बार 2025 की शुरुआत में सार्वजनिक किया गया - और वसंत की शुरुआत में दुर्भावनापूर्ण उपयोग में देखा गया - AdaptixC2 को एक के रूप में तैयार किया गया है कोबाल्ट स्ट्राइक के बराबर शोषण-पश्चात ढांचाएक बार प्रत्यारोपित होने के बाद, ऑपरेटर दूरस्थ पहुँच, कमांड निष्पादन, फ़ाइल और प्रक्रिया प्रबंधन कर सकते हैं, और आगे बढ़ सकते हैं एकाधिक दृढ़ता विकल्प.
ये सुविधाएँ विरोधियों को डेवलपर परिवेशों और CI/CD इन्फ्रास्ट्रक्चर के अंदर पहुँच बनाए रखने, जासूसी करने और अनुवर्ती कार्रवाई करने में मदद करती हैं। संक्षेप में, एक छेड़छाड़ की गई निर्भरता एक नियमित इंस्टॉलेशन को एक में बदल सकती है। पार्श्व गति के लिए विश्वसनीय आधार.
एनपीएम घटना भी एक व्यापक पैटर्न में फिट बैठती है। कुछ हफ़्ते पहले ही, शाई-हुलुद कीड़ा पोस्ट-इंस्टॉल तकनीकों के माध्यम से सैकड़ों पैकेजों में फैल गया, जिससे यह पता चलता है कि हमलावर कैसे हथियार बनाना जारी रखते हैं विश्वसनीय ओपन-सोर्स आपूर्ति श्रृंखलाएँ.
कैस्परस्की का विश्लेषण एनपीएम डिलीवरी को एक विश्वसनीय धोखेबाज़ के रूप में बताता है मिश्रित वास्तविक प्रॉक्सी कार्यक्षमता छिपे हुए इंस्टॉलेशन लॉजिक के साथ। इस संयोजन ने कोड या पैकेज मेटाडेटा की आकस्मिक समीक्षा के दौरान खतरे को पहचानना मुश्किल बना दिया।
व्यावहारिक कदम और संकेतक जिन पर ध्यान देना चाहिए
संगठन पैकेज की स्वच्छता को कड़ा करके जोखिम को कम कर सकते हैं: स्थापना से पहले सटीक नामों को सत्यापित करें, नए या अलोकप्रिय रिपॉजिटरी की जांच करें, और सुरक्षा सलाह को ट्रैक करें ताकि मॉड्यूल्स के साथ छेड़छाड़ के संकेतों का पता लगाया जा सके। जहाँ संभव हो, पिन संस्करण, मिरर वेटेड आर्टिफैक्ट्स, और गेट बिल्ड्स के साथ नीति-जैसा-कोड और एसबीओएम जांच.
कुंजी पैकेज और हैश
- पैकेज का नाम: https-प्रॉक्सी-उपयोगिताएँ
- DFBC0606E16A89D980C9B674385B448E – पैकेज हैश
- B8E27A88730B124868C1390F3BC42709
- 669BDBEF9E92C3526302CA37DC48D21F
- EDAC632C9B9FF2A2DA0EACAAB63627F4
- 764C9E6B6F38DF11DC752CB071AE26F9
- 04931B7DFD123E6026B460D87D842897
नेटवर्क संकेतक
- क्लाउडसेंटर[.]टॉप/सिस्टम/अपडेट
- क्लाउडसेंटर[.]टॉप/macos_update_arm
- क्लाउडसेंटर[.]टॉप/macos_update_x64
- क्लाउडसेंटर[.]टॉप/मैकोज़अपडेट[.]प्लिस्ट
- क्लाउडसेंटर[.]टॉप/linux_update_x64
- क्लाउडसेंटर[.]टॉप/linux_update_arm
जबकि आपत्तिजनक एनपीएम पैकेज को हटा दिया गया है, टीमों को चाहिए हाल ही के निर्भरता इंस्टॉल का ऑडिट करें, उपरोक्त संकेतकों की खोज करें, और अप्रत्याशित बाइनरी के लिए सिस्टम की समीक्षा करें C:\Windows\Tasks, Library/LaunchAgentsया, /tmp/.fonts-unix — विशेष रूप से जहां पोस्ट-इंस्टॉल स्क्रिप्ट चलाने की अनुमति दी गई।
AdaptixC2 npm केस एक साथ लाता है विश्वसनीय प्रतिरूपण, स्वचालित क्रॉस-प्लेटफ़ॉर्म परिनियोजन, और सक्षम C2 टूलिंगयह दर्शाता है कि कैसे एक एकल निर्भरता दीर्घकालिक पहुंच का द्वार खोल सकती है; इस प्रकार के हमले को रोकने के लिए पैकेज चयन, निर्माण पाइपलाइनों और टेलीमेट्री के आसपास निरंतर सतर्कता आवश्यक है।
