В сентябре этого года было зафиксировано сразу два инцидента, когда в репозитории пакетов npm загружалось вредоносное программное обеспечение. Имел место как загрузки вредоносного пакета, так и , в ходе которой у злоумышленников получилось заразить сразу несколько популярных программ. Данные инциденты можно классифицировать как атаку на цепочку поставок: включение вредоносных пакетов в другое ПО может в итоге привести к гораздо более серьезным последствиям, чем компрометация рабочей станции единственного разработчика. На прошлой неделе специалисты «Лаборатории Касперского» отчитались об обнаружении еще одного вредоносного npm-пакета и опубликовали его работы.
Вредоносный пакет был обнаружен в октябре, и имел достаточно убедительное название https-proxy-utils. Легитимные пакеты с похожими именами скачиваются десятки миллионов раз в неделю. Легитимная функциональность полностью скопирована из пакета proxy-from-env, но помимо нее в код добавлен вредоносный скрипт, который загружает и запускает фреймворк для постэксплуатации AdaptixC2. AdaptixC2 — это набор инструментов, позволяющий «закрепиться» в системе после первоначального взлома. В подробном обзоре от специалистов Palo Alto Networks показаны его возможности: от анализа запущенных программ и файловой системы до прекращения работы определенных процессов и запуска собственного кода.
Как и более известный набор инструментов , AdaptixC2 позиционируется как решение для санкционированного тестирования инфраструктуры на наличие уязвимостей. Это, впрочем, не мешает злоумышленникам интегрировать оба фреймворка во вредоносное ПО. Код AdaptixC2 был опубликован в открытом доступе в январе 2025 года, и уже весной были зафиксированы попытки его использования во вредоносных целях.
На скриншоте выше справа показан код легитимного пакета, слева — вредоносного. Выделена строка, запускающая работу AdaptixC2. Фреймворк предоставляет инструменты для запуска под Windows, Linux и macOS. В случае Windows-системы вредоносный агент сохраняется в виде DLL-библиотеки в папку C:WindowsTasks. Туда же копируется легитимный файл msdtc.exe, который позволяет выполнить вредоносный код методом DLL sideloading. Под macOS и Linux существуют версии агента для архитектур x86 и ARM. Подходящая полезная нагрузка, в зависимости от архитектуры и операционной системы, скачивается с удаленного сервера.
Успешная установка агента AdaptixC2 дает злоумышленникам возможности удаленного доступа к системе, выполнения произвольных команд, управления файлами и процессами. Фреймворк предлагает различные варианты закрепления в системе и может использоваться для анализа сети и дальнейшего развития атаки. Чтобы минимизировать риск случайной установки вредоносного ПО, эксперты «Лаборатории Касперского» рекомендуют как базовые меры (тщательно проверять название скачиваемого пакета, с подозрением относиться к новым пакетам и репозиториям), так и продвинутые методы защиты, например — подписку на постоянно обновляемый фид скомпрометированных пакетов и библиотек.
Что еще произошло
В двух других публикациях экспертов «Лаборатории Касперского» APT-группировки Mysterious Elephant, действующей в Азиатско-Тихоокеанском регионе, а также , при котором скрытые ссылки на продвигаемые ресурсы зачастую размещаются на веб-страницах без ведома их владельцев.
Команда Google Threat Intelligence описала случай распространения вредоносного кода в группировкой, предположительно связанной с Северной Кореей.
Опубликовано подробное вредоносной кампании, в которой пользователей ПК на базе macOS заманивают на страницы, якобы распространяющие популярные программы и сервисы. В частности, веб-страницы якобы предлагают скачать пакет Homebrew, воспользоваться сервисами LogMeIn и TradingView. Кампания использует метод FileFix, когда пользователю для установки программы предлагают скопировать скрипт и выполнить его в терминале. В другом рассказывается об активном распространении вредоносных программ похожим методом ClickFix через ролики в соцсети TikTok. Жертв заманивают обещаниями бесплатного доступа к популярным сервисам, например к аудиостримингу Spotify.
Натали Сильванович, исследователь из команды Google Project Zero, необычной уязвимости в кодеке Dolby Unified Decoder. Ошибка в обработке входящих данных может вызывать переполнение буфера и в худшем случае, на ряде смартфонов под управлением Android, может приводить к выполнению произвольного кода без необходимости каких-либо действий со стороны жертвы.
В очередном наборе патчей для продуктов Microsoft 172 проблемы, включая шесть уязвимостей нулевого дня. Среди них — уязвимость в драйвере для модемов (), которую эксплуатировали злоумышленники. Ввиду крайне редкого использования таких устаревших устройств драйвер просто был удален из системы.
