Kaspersky descobre que AdaptixC2 se espalha via npm typosquatting

Última atualização: 10/22/2025
autor: Trilha de origem C
  • O pacote npm malicioso "https-proxy-utils" entregou o agente AdaptixC2 por meio de um script pós-instalação.
  • O ataque usou typosquatting para imitar utilitários proxy amplamente baixados no ecossistema npm.
  • Entrega multiplataforma com suporte para Windows, macOS e Linux com cargas úteis com reconhecimento de arquitetura.
  • Pesquisadores publicaram IoCs e dicas de mitigação, observando que o pacote foi removido do npm.

Ataque à cadeia de suprimentos AdaptixC2

Em outubro de 2025, analistas de segurança da Kaspersky detalharam uma comprometimento da cadeia de suprimentos visando o ecossistema npm que contrabandeou o agente de pós-exploração AdaptixC2 por meio de um pacote semelhante chamado https-proxy-utils. O pacote se passava por um auxiliar de proxy, mas silenciosamente buscava e executava uma carga útil do AdaptixC2 durante a instalação.

A operação apoiou-se no clássico typosquatting contra módulos npm populares. Ao repetir nomes como http-proxy-agent (~70 milhões de downloads semanais) e https-proxy-agent (~90 milhões), e clonar o comportamento de proxy-from-env (~50 milhões), o pacote desonesto aumentou sua credibilidade — até que o script oculto de pós-instalação entregou o controle ao AdaptixC2. No momento do relatório, o impostor havia sido removido do registro npm.

Entrega de carga útil multiplataforma

Os investigadores relatam que o instalador se adaptou ao sistema operacional host com rotinas distintas de carregamento e persistência. No Windows, o agente chegou como uma DLL em C:\Windows\Tasks. O script copiou o legítimo msdtc.exe naquele diretório e o executou para fazer o sideload da biblioteca maliciosa — um padrão mapeado para a técnica MITRE ATT&CK T1574.001 (Sequestro de Ordem de Pesquisa de DLL).

No macOS, o script soltou um executável em Library/LaunchAgents e criou um plist para execução automática. Antes do download, a lógica verificou a família da CPU e recuperou a compilação apropriada, x64 ou ARM, para se adequar ao sistema de destino.

Os hosts Linux receberam um binário de arquitetura correspondente em /tmp/.fonts-unix, onde o script define permissões de execução para início imediato. Isso Entrega com reconhecimento de CPU (x64/ARM) garantiu que o agente pudesse operar consistentemente em frotas diversas.

Em todas as plataformas, o gancho de pós-instalação atuou como um gatilho automático, não exigindo nenhuma ação manual do usuário depois que o desenvolvedor instalou o pacote — um dos principais motivos pelos quais o abuso da cadeia de suprimentos em gerenciadores de pacotes continua sendo tão prejudicial.

Táticas multiplataforma do AdaptixC2

O que o AdaptixC2 permite e por que isso é importante

Tornado público pela primeira vez no início de 2025 — e visto em uso malicioso já na primavera — o AdaptixC2 é enquadrado como um estrutura pós-exploração comparável ao Cobalt Strike. Uma vez implantado, os operadores podem realizar acesso remoto, execução de comandos, gerenciamento de arquivos e processos e prosseguir múltiplas opções de persistência.

Esses recursos ajudam os adversários a manter o acesso, executar reconhecimento e preparar ações de acompanhamento dentro de ambientes de desenvolvedor e infraestrutura de CI/CD. Em resumo, uma dependência adulterada pode transformar uma instalação de rotina em uma apoio confiável para movimento lateral.

O incidente do NPM também se enquadra num padrão mais amplo. Apenas algumas semanas antes, o Verme Shai-Hulud espalhados por meio de técnicas de pós-instalação para centenas de pacotes, destacando como os invasores continuam a usar como armas cadeias de suprimentos de código aberto confiáveis.

A análise da Kaspersky atribui a entrega do npm a um impostor convincente de que funcionalidade de proxy real combinada com lógica de instalação oculta. A combinação tornou a ameaça mais difícil de detectar durante análises casuais de código ou metadados de pacotes.

Visão geral da estrutura AdaptixC2

Passos práticos e indicadores a serem observados

As organizações podem reduzir a exposição reforçando a higiene das embalagens: verifique os nomes exatos antes da instalação, examinar repositórios novos ou impopularese rastrear alertas de segurança em busca de sinais de módulos comprometidos. Sempre que possível, fixe versões, espelhe artefatos verificados e construa gates com verificações de política como código e SBOM.

Pacote de chaves e hashes

  • Nome do pacote: https-proxy-utils
  • DFBC0606E16A89D980C9B674385B448E – hash do pacote
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

Indicadores de rede

  • cloudcenter[.]topo/sys/atualização
  • cloudcenter[.]topo/macos_update_arm
  • cloudcenter[.]topo/macos_update_x64
  • cloudcenter[.]top/macosUpdate[.]plist
  • cloudcenter[.]topo/atualização_linux_x64
  • cloudcenter[.]topo/linux_update_arm

Embora o pacote npm ofensivo tenha sido removido, as equipes devem auditar instalações de dependências recentes, procure os indicadores acima e revise os sistemas para binários inesperados em C:\Windows\Tasks, Library/LaunchAgents, ou /tmp/.fonts-unix — especialmente onde scripts de pós-instalação foram autorizados a correr.

Indicadores e resposta do AdaptixC2

O caso AdaptixC2 npm reúne representação confiável, implantação automatizada em várias plataformas e ferramentas C2 capazes, ilustrando como uma única dependência pode abrir a porta para um acesso duradouro; vigilância sustentada em torno da seleção de pacotes, pipelines de construção e telemetria é essencial para neutralizar esse estilo de ataque.

Artigos relacionados: