- Det skadliga npm-paketet "https-proxy-utils" levererade AdaptixC2-agenten via ett skript efter installationen.
- Attacken använde typosquatting för att imitera allmänt nedladdade proxyverktyg i npm-ekosystemet.
- Plattformsoberoende leverans stödde Windows, macOS och Linux med arkitekturmedvetna nyttolaster.
- Forskare publicerade IoC:er och tips för begränsning, och noterade att paketet togs bort från npm.
I oktober 2025 redogjorde säkerhetsanalytiker på Kaspersky för en Leveranskedjans kompromiss med npm-ekosystemet som mål som smugglade AdaptixC2-agenten efter utnyttjandet genom ett liknande paket med namnet https-proxy-utils. Paketet utgav sig för att vara en proxyhjälpare men hämtade och körde i tysthet en AdaptixC2-nyttolast under installationen.
Verksamheten baserades på klassisk typosquatting mot populära npm-modulerGenom att använda namn som http-proxy-agent (~70 miljoner nedladdningar per vecka) och https-proxy-agent (~90 miljoner), och kloningsbeteende från proxy-from-env (~50 miljoner), ökade det oseriösa paketet sin trovärdighet – tills det dolda skriptet efter installationen överlämnade kontrollen till AdaptixC2. Vid rapporteringstillfället hade bedragaren varit borttagen från npm-registret.
Leverans av nyttolast över flera plattformar
Utredare rapporterar att installationsprogrammet anpassade sig till värdoperativsystemet med distinkta laddnings- och persistensrutinerI Windows anlände agenten som en DLL under C:\Windows\TasksSkriptet kopierade det legitima msdtc.exe i den katalogen och körde den för att sidladda det skadliga biblioteket — ett mönster mappat till MITRE ATT&CK-tekniken T1574.001 (Kapning av DLL-sökordning).
På macOS släppte skriptet en körbar fil i Library/LaunchAgents och skapade en plist för autorunFöre nedladdningen kontrollerade logiken CPU-familjen och hämtade lämplig build, x64 eller ARM, för att passa målsystemet.
Linux-värdar fick en arkitekturmatchad binärfil i /tmp/.fonts-unix, där skriptet anger exekveringsbehörigheter för omedelbar start. Det CPU-medveten leverans (x64/ARM) säkerställde att agenten kunde köras konsekvent över olika flottor.
Över plattformar fungerade postinstall-kroken som en automatisk utlösare, vilket inte kräver några manuella åtgärder från användaren när utvecklaren väl har installerat paketet – en viktig anledning till varför missbruk av leveranskedjan i pakethanterare fortfarande är så störande.
Vad AdaptixC2 möjliggör och varför detta är viktigt
AdaptixC2 publicerades först i början av 2025 – och sågs användas i skadlig ordning redan under våren – och framställs som en ramverk efter exploatering jämförbart med Cobalt StrikeNär de är implanterade kan operatörer utföra fjärråtkomst, köra kommandon, hantera filer och processer och fortsätta flera uthållighetsalternativ.
Dessa funktioner hjälper motståndare att upprätthålla åtkomst, köra rekognoscering och genomföra uppföljningsåtgärder i utvecklarmiljöer och CI/CD-infrastruktur. Kort sagt kan ett manipulerat beroende förvandla en rutininstallation till en pålitligt fotfäste för sidledsrörelser.
npm-incidenten passar också in i ett bredare mönster. Bara några veckor tidigare, Shai-Hulud-masken sprids via efterinstallationstekniker till hundratals paket, vilket understryker hur angripare fortsätter att beväpna sig betrodda leveranskedjor med öppen källkod.
Kasperskys analys tillskriver npm-leveransen till en övertygande bedragare som blandad verklig proxyfunktionalitet med dold installationslogik. Kombinationen gjorde hotet svårare att upptäcka vid tillfälliga granskningar av kod eller paketmetadata.
Praktiska steg och indikatorer att hålla koll på
Organisationer kan minska exponeringen genom att skärpa förpackningshygienen: verifiera exakta namn före installation, granska nya eller impopulära arkivoch spåra säkerhetsrekommendationer för tecken på komprometterade moduler. Där det är möjligt, PIN-versioner, spegla verifierade artefakter och gate-byggen med policy-som-kod och SBOM-kontroller.
Nyckelpaket och hashkoder
- Paketnamn: https-proxy-utils
- DFBC0606E16A89D980C9B674385B448E – pakethash
- B8E27A88730B124868C1390F3BC42709
- 669BDBEF9E92C3526302CA37DC48D21F
- EDAC632C9B9FF2A2DA0EACAAB63627F4
- 764C9E6B6F38DF11DC752CB071AE26F9
- 04931B7DFD123E6026B460D87D842897
Nätverksindikatorer
- molncenter[.]top/sys/uppdatering
- molncenter[.]top/macos_update_arm
- molncenter[.]top/macos_update_x64
- molncenter[.]top/macosUpdate[.]plist
- molncenter[.]top/linux_update_x64
- molncenter[.]top/linux_update_arm
Även om det störande npm-paketet har tagits ner, bör team granska de senaste beroendeinstallationerna, leta efter ovanstående indikatorer och granska system för oväntade binärfiler i C:\Windows\Tasks, Library/LaunchAgents, eller /tmp/.fonts-unix — särskilt där skript efter installationen fick tillstånd att springa.
AdaptixC2 npm-fodralet sammanför trovärdig personifiering, automatiserad plattformsoberoende distribution och kapabla C2-verktyg, vilket illustrerar hur ett enda beroende kan öppna dörren till långvarig åtkomst; ihållande vaksamhet kring paketval, byggpipelines och telemetri är avgörande för att dämpa denna typ av attack.
