- 악성 npm 패키지 "https-proxy-utils"가 설치 후 스크립트를 통해 AdaptixC2 에이전트를 전달했습니다.
- 공격자는 타이포스쿼팅을 사용하여 npm 생태계에서 널리 다운로드되는 프록시 유틸리티를 모방했습니다.
- 크로스 플랫폼 제공은 아키텍처 인식 페이로드를 통해 Windows, macOS, Linux를 지원합니다.
- 연구자들은 IoC와 완화 팁을 공개하면서 해당 패키지가 npm에서 제거되었다고 언급했습니다.
2025년 10월, Kaspersky의 보안 분석가들은 다음과 같이 자세히 설명했습니다. npm 생태계를 표적으로 삼은 공급망 침해 https-proxy-utils라는 유사 패키지를 통해 AdaptixC2 사후 익스플로잇 에이전트를 몰래 설치했습니다. 이 패키지는 프록시 도우미로 위장했지만, 설치 과정에서 AdaptixC2 페이로드를 조용히 가져와 실행했습니다.
이 작업은 고전적인 것에 의존했습니다. 인기 있는 npm 모듈에 대한 타이포스쿼팅http-proxy-agent(주간 다운로드 약 70천만 건) 및 https-proxy-agent(주간 다운로드 약 90천만 건)와 같은 이름을 반복하고 proxy-from-env(주간 다운로드 약 50천만 건)의 동작을 복제함으로써 악성 패키지는 신뢰도를 높였습니다. 하지만 숨겨진 설치 후 스크립트가 AdaptixC2에 제어권을 넘기기 전까지는 말입니다. 보고 시점에 해당 악성 패키지는 npm 레지스트리에서 제거됨.
크로스 플랫폼 페이로드 전달
조사관들은 설치 프로그램이 호스트 OS에 적응했다고 보고했습니다. 고유한 로딩 및 지속성 루틴. Windows에서 에이전트는 DLL로 도착했습니다. C:\Windows\Tasks. 스크립트는 합법적인 것을 복사했습니다. msdtc.exe 해당 디렉토리로 이동하여 악성 라이브러리를 사이드로딩하기 위해 실행했습니다. 이 패턴은 MITRE ATT&CK 기술에 매핑되었습니다. T1574.001(DLL 검색 순서 하이재킹).
macOS에서 스크립트는 실행 파일을 삭제했습니다. Library/LaunchAgents 그리고 만든 자동 실행을 위한 plist. 다운로드 전에 로직은 CPU 제품군을 확인하고 적절한 빌드를 검색했습니다. x64 또는 ARM, 타겟 시스템에 맞게 조정합니다.
Linux 호스트는 아키텍처와 일치하는 바이너리를 수신했습니다. /tmp/.fonts-unix스크립트가 즉시 시작할 수 있도록 실행 권한을 설정한 경우 CPU 인식 전달(x64/ARM) 에이전트가 다양한 차량대에서 일관되게 실행될 수 있도록 보장했습니다.
플랫폼 전반에 걸쳐 설치 후 후크는 다음과 같은 역할을 합니다. 자동 트리거개발자가 패키지를 설치한 후에는 사용자가 수동으로 조치를 취할 필요가 없습니다. 이것이 패키지 관리자에서 공급망 남용이 여전히 매우 파괴적인 주요 이유입니다.
AdaptixC2가 무엇을 가능하게 하고 왜 중요한가
2025년 초에 처음 공개되었으며 봄에 악의적으로 사용된 것으로 보이는 AdaptixC2는 다음과 같이 규정됩니다. Cobalt Strike와 비슷한 착취 후 프레임워크. 이식되면 운영자는 원격 액세스, 명령 실행, 파일 및 프로세스 관리를 수행하고 다음을 수행할 수 있습니다. 다양한 지속성 옵션.
이러한 기능은 공격자가 개발자 환경 및 CI/CD 인프라 내에서 접근 권한을 유지하고, 정찰을 실행하고, 후속 조치를 취하는 데 도움이 됩니다. 간단히 말해, 종속성이 변조되면 일상적인 설치가 측면 이동을 위한 안정적인 발판.
npm 사건도 더 광범위한 패턴에 부합합니다. 불과 몇 주 전에 샤이-훌루드 벌레 설치 후 기술을 통해 수백 개의 패키지로 확산되어 공격자가 계속해서 무기화하는 방식을 강조합니다. 신뢰할 수 있는 오픈 소스 공급망.
Kaspersky의 분석에 따르면 npm 배달은 설득력 있는 사기꾼에게 기인합니다. 혼합된 실제 프록시 기능 숨겨진 설치 로직이 있습니다. 이러한 조합으로 인해 코드나 패키지 메타데이터를 검토하는 동안 위협을 발견하기가 더 어려워졌습니다.
지켜봐야 할 실제적인 단계와 지표
조직은 패키지 위생을 강화하여 노출을 줄일 수 있습니다. 설치 전에 정확한 이름을 확인하세요. 새롭거나 인기 없는 저장소를 면밀히 조사하다, 손상된 모듈의 징후를 파악하기 위해 보안 권고를 추적합니다. 가능한 경우 버전을 고정하고, 검증된 아티팩트를 미러링하고, 게이트 빌드를 policy‑as‑code 및 SBOM 검사.
키 패키지 및 해시
- 패키지 이름 : https-프록시-유틸리티
- DFBC0606E16A89D980C9B674385B448E – 패키지 해시
- B8E27A88730B124868C1390F3BC42709
- 669BDBEF9E92C3526302CA37DC48D21F
- EDAC632C9B9FF2A2DA0EACAAB63627F4
- 764C9E6B6F38DF11DC752CB071AE26F9
- 04931B7DFD123E6026B460D87D842897
네트워크 표시기
- 클라우드센터[.]top/sys/업데이트
- 클라우드센터[.]top/macos_update_arm
- 클라우드센터[.]top/macos_update_x64
- cloudcenter[.]top/macosUpdate[.]plist
- 클라우드센터[.]top/linux_update_x64
- 클라우드센터[.]top/linux_update_arm
문제가 있는 npm 패키지가 삭제되었지만 팀은 최근 종속성 설치 감사, 위의 지표를 찾고 예상치 못한 이진에 대한 시스템을 검토합니다. C:\Windows\Tasks, Library/LaunchAgents및 /tmp/.fonts-unix — 특히 어디에서 설치 후 스크립트 실행이 허용되었습니다.
AdaptixC2 npm 케이스는 다음을 포함합니다. 신뢰할 수 있는 사칭, 자동화된 크로스 플랫폼 배포 및 유능한 C2 툴링단일 종속성이 어떻게 장기적 접근의 문을 열 수 있는지 보여주는 사례입니다. 이러한 유형의 공격을 무디게 하려면 패키지 선택, 빌드 파이프라인, 원격 측정에 대한 지속적인 경계가 필수적입니다.
