- El paquete npm malicioso "https-proxy-utils" entregó el agente AdaptixC2 a través de un script posterior a la instalación.
- El ataque utilizó typosquatting para imitar utilidades de proxy ampliamente descargadas en el ecosistema npm.
- Entrega multiplataforma compatible con Windows, macOS y Linux con cargas útiles que tienen en cuenta la arquitectura.
- Los investigadores publicaron IoC y sugerencias de mitigación, señalando que el paquete fue eliminado de npm.
En octubre de 2025, los analistas de seguridad de Kaspersky detallaron un Compromiso de la cadena de suministro que afecta al ecosistema NPM que introdujo de contrabando el agente de postexplotación AdaptixC2 mediante un paquete similar llamado https-proxy-utils. Este paquete se hacía pasar por un asistente de proxy, pero obtenía y ejecutaba silenciosamente una carga útil de AdaptixC2 durante la instalación.
La operación se apoyó en el clásico Typosquatting contra módulos npm popularesAl replicar nombres como http-proxy-agent (aproximadamente 70 millones de descargas semanales) y https-proxy-agent (aproximadamente 90 millones), y clonar el comportamiento de proxy-from-env (aproximadamente 50 millones), el paquete fraudulento aumentó su credibilidad, hasta que el script oculto posterior a la instalación cedió el control a AdaptixC2. Al momento de informar, el impostor había sido... eliminado del registro npm.
Entrega de carga útil multiplataforma
Los investigadores informan que el instalador se adaptó al sistema operativo host con distintas rutinas de carga y persistenciaEn Windows, el agente llegó como una DLL bajo C:\Windows\Tasks. El guión copió el legítimo msdtc.exe en ese directorio y lo ejecutó para cargar lateralmente la biblioteca maliciosa: un patrón asignado a la técnica MITRE ATT&CK T1574.001 (Secuestro de orden de búsqueda de DLL).
En macOS, el script colocó un ejecutable en Library/LaunchAgents y creó un plist para ejecución automáticaAntes de la descarga, la lógica verificó la familia de CPU y recuperó la compilación apropiada. x64 o ARM, para adaptarse al sistema de destino.
Los hosts Linux recibieron un binario adaptado a la arquitectura en /tmp/.fonts-unix, donde el script establece permisos de ejecución para inicio inmediato. Eso Entrega con reconocimiento de CPU (x64/ARM) Se aseguró de que el agente pudiera funcionar consistentemente en diversas flotas.
En todas las plataformas, el gancho posterior a la instalación actuó como un disparador automático, que no requiere ninguna acción manual del usuario una vez que el desarrollador instaló el paquete, una razón clave por la que el abuso de la cadena de suministro en los administradores de paquetes sigue siendo tan disruptivo.
Qué permite AdaptixC2 y por qué es importante
AdaptixC2 se hizo público por primera vez a principios de 2025 y se vio en uso malicioso ya en la primavera. Se presenta como un Marco de postexplotación comparable a Cobalt StrikeUna vez implantados, los operadores pueden realizar acceso remoto, ejecución de comandos, gestión de archivos y procesos, y realizar... múltiples opciones de persistencia.
Estas características ayudan a los adversarios a mantener el acceso, ejecutar tareas de reconocimiento y preparar acciones de seguimiento dentro de los entornos de desarrollo y la infraestructura de CI/CD. En resumen, una dependencia manipulada puede convertir una instalación rutinaria en una Punto de apoyo fiable para el movimiento lateral.
El incidente de npm también encaja en un patrón más amplio. Apenas unas semanas antes, el Gusano Shai-Hulud se propaga mediante técnicas posteriores a la instalación a cientos de paquetes, lo que pone de relieve cómo los atacantes siguen utilizando este tipo de malware como arma. cadenas de suministro confiables de código abierto.
El análisis de Kaspersky atribuye la entrega de npm a un impostor convincente que Funcionalidad de proxy real combinada Con lógica de instalación oculta. Esta combinación dificultó la detección de la amenaza durante revisiones casuales del código o los metadatos de los paquetes.
Pasos prácticos e indicadores a tener en cuenta
Las organizaciones pueden reducir la exposición reforzando la higiene de los paquetes: verificar los nombres exactos antes de la instalación, Examinar los repositorios nuevos o impopularesy realizar un seguimiento de los avisos de seguridad para detectar señales de módulos comprometidos. Siempre que sea posible, fije versiones, refleje artefactos verificados y bloquee compilaciones con Comprobaciones de política como código y SBOM.
Paquete de claves y hashes
- Nombre del paquete: utilidades de proxy https
- DFBC0606E16A89D980C9B674385B448E – hash del paquete
- B8E27A88730B124868C1390F3BC42709
- 669BDBEF9E92C3526302CA37DC48D21F
- EDAC632C9B9FF2A2DA0EACAAB63627F4
- 764C9E6B6F38DF11DC752CB071AE26F9
- 04931B7DFD123E6026B460D87D842897
Indicadores de red
- cloudcenter[.]top/sys/actualización
- centro de nubes[.]top/macos_update_arm
- cloudcenter[.]top/actualización_macos_x64
- cloudcenter[.]top/macosUpdate[.]plist
- cloudcenter[.]top/actualización_de_linux_x64
- cloudcenter[.]top/linux_update_arm
Si bien el paquete npm infractor se ha eliminado, los equipos deben auditar instalaciones de dependencias recientes, busque los indicadores anteriores y revise los sistemas en busca de binarios inesperados en C:\Windows\Tasks, Library/LaunchAgents o /tmp/.fonts-unix — especialmente donde scripts posteriores a la instalación se les permitió correr.
El estuche npm AdaptixC2 reúne Suplantación creíble, implementación automatizada multiplataforma y herramientas C2 capaces, lo que ilustra cómo una sola dependencia puede abrir la puerta a un acceso de larga duración; la vigilancia sostenida en torno a la selección de paquetes, las cadenas de compilación y la telemetría es esencial para mitigar este estilo de ataque.
