AdaptixC2 Emerges in npm Supply-Chain Exploit Against Developers
2025/10/21 gbhackers — Kaspersky のサイバー・セキュリティ研究者が、npm エコシステムを標的とした高度なサプライチェーン攻撃を発見した。この攻撃を仕掛ける脅威アクターは、正規のプロキシ・ユーティリティを装う悪意の npm パッケージを通じて、AdaptixC2 ポスト・エクスプロイト・フレームワークを配布していた。この発見が示すのは、高度なマルウェアを配信するための攻撃ベクターとして、オープンソース・ソフトウェア・リポジトリが悪用されるリスクが高まっている状況である。
2025年10月に Kaspersky の専門家たちが特定したのは、”https-proxy-utils” という名の悪意の npm パッケージであり、開発者を欺いてシステムにマルウェアをインストールさせるように設計されたものだ。
この悪意のパッケージは、正規のプロキシ関連ユーティリティ “proxy-from-env” を巧妙に模倣し、開発プロジェクト内でプロキシを管理するためのツールを装うものだ。この脅威アクターは信頼を得るために、毎週約 5,000 万回もダウンロードされている、人気の正規パッケージの機能を複製していた。
この悪意のパッケージの名前は、”http-proxy-agent” や “https-proxy-agent” といった信頼できるパッケージに似せて作成されている。これらのパッケージを合計すると、毎週 1億6,000 万回以上ダウンロードされているという。このタイポスクワッティングの手法は、開発者を欺くことで悪意のパッケージをインストールさせるものである。
すでに、一連の悪意のパッケージは npm レジストリから削除されているが、このインシデントが示唆するのは、オープンソース・エコシステムに対する開発者の信頼を、攻撃者が容易に悪用できる状況である。
AdaptixC2 フレームワーク
この攻撃の特徴は、洗練されたマルチ・プラットフォーム配信のメカニズムにある。一連の悪意のパッケージには、開発者がパッケージをインストールした直後に自動的に実行される、ポスト・インストール・スクリプトが含まれており、被害者の OS に合わせてカスタマイズされた AdaptixC2 エージェントのダウンロードとデプロイメントが引き起こされる。
2025年の初頭に公開された AdaptixC2 は、ポスト・エクスプロイト・フレームワーク Cobalt Strike の代替として機能し、2025年春には脅威アクターによる悪意が確認されている。
Windows システムを侵害する攻撃者は、DLL サイドローディング手法を用いている。具体的には、AdaptixC2 エージェントを DLL ファイルとして “C:\Windows\Tasks” ディレクトリにドロップし、その後に、スクリプトにより正規の “msdtc.exe” ファイルを同じ場所にコピーして実行し、悪意の DLL をロードするという手順を採っていた。
macOS の場合には、このペイロードは実行可能ファイルとして “/Library/LaunchAgents” ディレクトリにダウンロードされるが、永続化のための plist コンフィグ・ファイルも添付されていた。スクリプトにより、システム・アーキテクチャの x64/ARM 判別が行われ、適切なペイロード・バリアントを取得するという設計である。
Linux システムの場合には、フレームワークのエージェントが “/tmp/.fonts-unix” 一時ディレクトリにダウンロードされる。macOS 実装と同様に、スクリプトにより x64/ARM が判別され、適合するバイナリ・ファイルが配信され、マルウェア実行を可能にするための実行権限が割り当てられる。
より広範な影響
AdaptixC2 フレームワークの導入に成功した攻撃者は、リモートアクセス/コマンド実行/ファイルおよびプロセスの管理/複数の永続化手法といった、広範な機能を利用できるようになる。これらの機能により脅威アクターは、侵害したシステムへの継続的なアクセスを維持し、ネットワーク偵察や新たな攻撃ステージの展開を可能にする。このフレームワークは、開発者のマシンをより広範なネットワーク侵入の足掛かりへと変えるものだ。
このインシデントは、npm を標的とするサプライチェーン攻撃という、憂慮すべき傾向の一端を示している。この発見の僅か1ヶ月前には、Shai-Hulud ワームが 500 以上の npm パッケージを汚染していたが、そこでも、同様のポスト・インストール・スクリプト手法が用いられていた。
これらのインシデントが浮き彫りにするのは、信頼できるオープンソースのサプライチェーンを悪用する脅威アクターが、ポスト・エクスプロイト・フレームワークなどを拡散するケースが増えていることだ。このような進化する脅威に、npm パッケージを使用している組織や開発者が直面する可能性が高まっている。
セキュリティ専門家たちは、オープンソース・ソフトウェアを使用する開発者や組織に対して、いくつかの保護対策を推奨している。まず、パッケージの正確な名前を、インストール前に慎重に確認すべきである。また、人気のないリポジトリや新しく作成されたリポジトリを徹底的に検証し、侵害されたパッケージやライブラリで頻繁に更新されるフィードを監視する必要がある。
AdaptixC2 インシデントが示すのは、適切なセキュリティ対策が講じられていない場合には、依存関係のインストールといった日常的な開発作業でさえ、高度なサイバー攻撃の入り口となり得ることだ。
npm で起こったインシデントは、攻撃者が正規パッケージ名に似せたタイポスクワッティングで信頼を奪い、インストール直後に自動実行されるポスト・インストール・スクリプトを用いて AdaptixC2 を配布するというものです。さらに、マルチ・プラットフォーム配信ロジックと、DLL サイドローディングなどの永続化の手法を組み合わせ、感染を広げようとしています。ご利用のチームは、ご注意ください。よろしければ、npm で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.