Привет от Cobalt Strike. Разработчикам подкинули вирус, замаскированный под прокси-утилиту в npm

npm Лаборатория Касперского adaptixc2 dll sideloading lumma
Привет от Cobalt Strike. Разработчикам подкинули вирус, замаскированный под прокси-утилиту в npm
npm Лаборатория Касперского adaptixc2 dll sideloading lumma

«Лаборатория Касперского» выявила вредоносный пакет в npm, распространяющий фреймворк AdaptixC2.

image

В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили в популярном хранилище открытого программного обеспечения npm вредоносный пакет https-proxy-utils. Он был замаскирован под легитимные инструменты для работы с прокси в проектах и позволял установить на скомпрометированные устройства разработчиков фреймворк AdaptixC2 — опенсорсный аналог известного Cobalt Strike. Вредоносный пакет уже удалён из репозитория.

AdaptixC2 — фреймворк с открытой архитектурой, появившийся в 2024 году. Он был создан для задач Red Team, однако, как и Cobalt Strike, может использоваться в злонамеренных целях и уже зафиксирован в реальных инцидентах.

Название вредоносного пакета напоминало имена популярных легитимных библиотек http-proxy-agent и https-proxy-agent, которые имеют около 70 и 90 миллионов загрузок в неделю соответственно. Такое сходство повышало вероятность того, что разработчики установят подделку, не заметив разницы.

Внутри — постинсталляционный скрипт, который скачивает и запускает AdaptixC2. Это даёт злоумышленникам возможность получать удалённый доступ к заражённому устройству, управлять файлами и процессами, а также закрепляться в системе для анализа сети и развёртывания последующих стадий атаки.

Атакующие адаптировали загрузку фреймворка под операционную систему жертвы — Windows, Linux или macOS. На Windows AdaptixC2 скачивался в виде DLL-файла в каталог C:\Windows\Tasks и запускался при помощи техники DLL Sideloading — метода, при котором вредоносная библиотека выполняется в контексте легитимного приложения.

По оценке экспертов, инцидент с AdaptixC2 демонстрирует растущую тенденцию использования хранилищ открытого программного обеспечения как вектора атак. К подобным угрозам уязвимы пользователи и компании, которые занимаются разработкой или применяют open-source-компоненты в своих продуктах.

Исследователи также отмечают, что злоумышленники берут на вооружение всё более сложные методы сокрытия известных инструментов. В описанной кампании применялась техника DLL Sideloading, которая становится всё более популярной и фиксируется как в России, так и за рубежом. Этот же метод используется, например, для распространения стилера Lumma.