Для загрузки в том числе используется техника DLL Sideloading
В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили в популярном хранилище открытого программного обеспечения npm вредоносный пакет https-proxy-utils. Он замаскирован под легитимные инструменты для использования прокси в проектах и позволяет установить на скомпрометированные устройства разработчиков фреймворк AdaptixC2 — опенсорсный аналог известного Cobalt Strike. На данный момент вредоносный пакет удалён.
AdaptixC2. Это фреймворк с открытой архитектурой, который появился в 2024 году и изначально создан для использования в операциях Red Team. Как и Cobalt Strike, может эксплуатироваться в злонамеренных целях и уже замечен в реальных инцидентах.
Как распространяется. Название пакета напоминает имена популярных легитимных файлов http-proxy-agent и https-proxy-agent с приблизительно 70 и 90 миллионами загрузок в неделю соответственно. Внутри — постинсталляционный скрипт, который скачивает и запускает AdaptixC2. Это позволяет злоумышленникам получать удалённый доступ к заражённому устройству, управлять файлами и процессами, а также закрепляться в системе, чтобы проводить анализ сети и разворачивать последующие стадии атаки.
Адаптация под операционную систему жертвы. Атакующие меняют способ загрузки AdaptixC2 в зависимости от того, на какой операционной системе работает устройство — Windows, Linux или macOS. Например, на компьютерах под управлением Windows они скачивают AdaptixC2 в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускают его при помощи техники DLL Sideloading. Это вид атаки, когда вредоносная библиотека DLL (Dynamic Linked Library) распространяется вместе с легитимным приложением, которое её выполняет.
«Инцидент с AdaptixC2 демонстрирует растущую тенденцию использования хранилищ открытого программного обеспечения в качестве вектора атак. Подобным угрозам подвержены пользователи и организации, занимающиеся разработкой или применяющие опенсорсное ПО из таких экосистем, как npm, в своих продуктах, — комментирует Владимир Гурский, исследователь угроз в „Лаборатории Касперского“. — Мы также видим, что злоумышленники берут на заметку всё более сложные методы для сокрытия известных инструментов. В описанной кампании они применяли технику DLL Sideloading, которая становится всё более популярной и замечена в инцидентах как в России, так и в других странах. Например, с её помощью распространяется опасный стилер Lumma. Эту технику довольно сложно обнаружить без использования современных средств защиты и ИИ-технологий».
Чтобы усилить защиту компаний от кибератак с подменой библиотек (DLL Hijacking), «Лаборатория Касперского» внедрила в свою SIEM-систему Kaspersky Unified Monitoring and Analysis Platform функциональность, которая непрерывно анализирует информацию обо всех загруженных библиотеках. Она реализована на базе модели машинного обучения, которая способна отличать события, похожие на DLL Hijacking, и отделять их от прочих.
Подробности — на Securelist.
Для противодействия подобной угрозе «Лаборатория Касперского» рекомендует:
- применять специальное решение для мониторинга компонентов с открытым исходным кодом;
- проверять надёжность разработчика пакетов, обращать внимание на наличие последовательной истории версий, документации и активного трекера проблем;
- проявлять бдительность при установке модулей с открытым исходным кодом: удостоверяться в точности названия скачиваемого пакета, а также более тщательно проверять непопулярные и новые репозитории.
- следить за ландшафтом киберугроз: подписаться на бюллетени от разработчиков опенсорсных пакетов;
- использовать возможности ИИ для детектирования кибератак с подменой библиотек (DLL Hijacking); подобная функциональность есть в SIEM-системе «Лаборатории Касперского»;
- для защиты личных и корпоративных устройств использовать надёжные защитные решения, эффективность которых подтверждается независимыми тестами.
