事件描述

AdaptixC2后渗透框架的第一个版本于2025年初公开发布，可被视为知名Cobalt Strike的替代品。2025年春季，该框架首次被观察到用于恶意目的。

2025年10月，卡巴斯基专家发现npm生态系统包含一个具有相当可信名称的恶意软件包：https-proxy-utils。它伪装成一个在项目中使用代理的工具。在本文发布时，该软件包已被下架。

该软件包的名称与流行的合法软件包非常相似：http-proxy-agent（每周约7000万次下载）和https-proxy-agent（每周9000万次下载）。此外，其宣传的代理相关功能是从另一个流行的合法软件包proxy-from-env（每周5000万次下载）克隆而来。然而，威胁行为者向https-proxy-utils注入了一个安装后脚本，该脚本下载并执行包含AdaptixC2代理的有效载荷。

操作系统特定适配

该脚本包含针对不同操作系统的多种有效载荷传递方法。软件包包含Windows、Linux和macOS的加载机制。在每个操作系统中，它使用特定的技术，涉及系统或用户目录来加载和启动植入程序。

在Windows中，AdaptixC2代理作为DLL文件被放入系统目录C:\Windows\Tasks。然后通过DLL侧加载执行。JS脚本将合法的msdtc.exe文件复制到同一目录并执行，从而加载恶意的DLL。

在macOS中，脚本将有效载荷作为可执行文件下载到用户的自动运行目录：Library/LaunchAgents。postinstall.js脚本还会将plist自动运行配置文件放入此目录。在下载AdaptixC2之前，脚本会检查目标架构（x64或ARM）并获取相应的有效载荷变体。

在Linux中，框架的代理被下载到临时目录/tmp/.fonts-unix。脚本提供针对特定架构（x64或ARM）定制的二进制文件，然后为其分配执行权限。

一旦AdaptixC2框架代理部署在受害者的设备上，攻击者就获得了远程访问、命令执行、文件和进程管理以及各种实现持久化方法的能力。这既允许攻击者保持持续访问，又使他们能够进行网络侦察并部署后续攻击阶段。

结论

这并非近期针对npm注册表的首次攻击。一个月前，在涉及感染500多个软件包的高调事件Shai-Hulud蠕虫中，使用了类似的利用安装后脚本的感染方法。AdaptixC2事件清楚地表明，滥用开源软件生态系统（如npm）作为攻击载体的趋势正在增长。威胁行为者越来越多地利用受信任的开源供应链分发后渗透框架代理和其他形式的恶意软件。参与开发或在其产品中使用来自npm等生态系统的开源软件的用户和组织容易受到此类威胁的影响。

为了保持安全，在安装开源模块时要保持警惕：验证您下载的软件包的确切名称，并更彻底地审查不受欢迎和新出现的存储库。在使用流行模块时，关键是要监控关于受损软件包和库的频繁更新的信息源。

攻击指标

软件包名称

https-proxy-utils

哈希值

DFBC0606E16A89D980C9B674385B448E – 软件包哈希 B8E27A88730B124868C1390F3BC42709 669BDBEF9E92C3526302CA37DC48D21F EDAC632C9B9FF2A2DA0EACAAB63627F4 764C9E6B6F38DF11DC752CB071AE26F9 04931B7DFD123E6026B460D87D842897

网络指标

cloudcenter[.]top/sys/update cloudcenter[.]top/macos_update_arm cloudcenter[.]top/macos_update_x64 cloudcenter[.]top/macosUpdate[.]plist cloudcenter[.]top/linux_update_x64 cloudcenter[.]top/linux_update_arm