ক্যাসপারস্কি npm টাইপোস্কোয়াটিংয়ের মাধ্যমে AdaptixC2 ছড়িয়ে পড়ে বলে খুঁজে পেয়েছে

সর্বশেষ আপডেট: 10/22/2025
লেখক: C SourceTrail
  • ক্ষতিকারক npm প্যাকেজ "https-proxy-utils" একটি পোস্ট-ইনস্টল স্ক্রিপ্টের মাধ্যমে AdaptixC2 এজেন্ট সরবরাহ করেছে।
  • এনপিএম ইকোসিস্টেমে ব্যাপকভাবে ডাউনলোড করা প্রক্সি ইউটিলিটিগুলি অনুকরণ করতে অ্যাটাক টাইপোস্কোয়াটিং ব্যবহার করেছিল।
  • ক্রস-প্ল্যাটফর্ম ডেলিভারি স্থাপত্য-সচেতন পেলোড সহ উইন্ডোজ, ম্যাকওএস এবং লিনাক্সকে সমর্থন করত।
  • গবেষকরা আইওসি এবং প্রশমন টিপস প্রকাশ করেছেন, উল্লেখ করেছেন যে প্যাকেজটি npm থেকে সরানো হয়েছে।

অ্যাডাপ্টিক্সসি২ সাপ্লাই চেইন আক্রমণ

২০২৫ সালের অক্টোবরে, ক্যাসপারস্কির নিরাপত্তা বিশ্লেষকরা একটি বিস্তারিত এনপিএম ইকোসিস্টেমকে লক্ষ্য করে সরবরাহ শৃঙ্খলের আপস যেটি https-proxy-utils নামক একটি অনুরূপ প্যাকেজের মাধ্যমে AdaptixC2 পোস্ট-শোষণ এজেন্ট পাচার করেছিল। প্যাকেজটি একটি প্রক্সি সহায়ক হিসাবে নিজেকে উপস্থাপন করেছিল কিন্তু ইনস্টলেশনের সময় চুপিচুপি একটি AdaptixC2 পেলোড আনে এবং চালায়।

অপারেশনটি ক্লাসিকের উপর নির্ভরশীল ছিল জনপ্রিয় npm মডিউলের সাথে টাইপোস্কোয়াটিং। http-proxy-agent (~৭০ মিলিয়ন সাপ্তাহিক ডাউনলোড) এবং https-proxy-agent (~৯০ মিলিয়ন) এর মতো নামগুলি প্রতিধ্বনিত করে এবং proxy-from-env (~৫০ মিলিয়ন) থেকে ক্লোনিং আচরণের মাধ্যমে, দুর্বৃত্ত প্যাকেজটি তার বিশ্বাসযোগ্যতা বৃদ্ধি করে — যতক্ষণ না লুকানো পোস্ট-ইনস্টল স্ক্রিপ্টটি AdaptixC2-এর কাছে নিয়ন্ত্রণ হস্তান্তর করে। রিপোর্টিং সময়, প্রতারককে npm রেজিস্ট্রি থেকে সরানো হয়েছে.

ক্রস-প্ল্যাটফর্ম পেলোড ডেলিভারি

তদন্তকারীরা জানিয়েছেন যে ইনস্টলারটি হোস্ট অপারেটিং সিস্টেমের সাথে খাপ খাইয়ে নিয়েছে স্বতন্ত্র লোডিং এবং স্থিরতা রুটিন। উইন্ডোজে, এজেন্টটি DLL হিসেবে এসেছে C:\Windows\Tasks. স্ক্রিপ্টটি বৈধ অনুলিপি করেছে msdtc.exe সেই ডিরেক্টরিতে প্রবেশ করানো হয়েছিল এবং ক্ষতিকারক লাইব্রেরিটি সাইডলোড করার জন্য এটি কার্যকর করা হয়েছিল — MITRE ATT&CK কৌশলে ম্যাপ করা একটি প্যাটার্ন T1574.001 (DLL অনুসন্ধান অর্ডার হাইজ্যাকিং).

macOS-এ, স্ক্রিপ্টটি একটি এক্সিকিউটেবলকে Library/LaunchAgents এবং একটি তৈরি করেছে অটোরানের জন্য প্লাস্টডাউনলোড করার আগে, লজিক CPU পরিবার পরীক্ষা করে এবং উপযুক্ত বিল্ডটি উদ্ধার করে, x64 অথবা ARM, লক্ষ্য সিস্টেমের সাথে মানানসই।

লিনাক্স হোস্টগুলি একটি আর্কিটেকচার-মিলিত বাইনারি পেয়েছে /tmp/.fonts-unix, যেখানে স্ক্রিপ্ট তাৎক্ষণিকভাবে শুরু করার জন্য অনুমতি কার্যকর করে। CPU-সচেতন ডেলিভারি (x64/ARM) নিশ্চিত করেছে যে এজেন্ট বিভিন্ন বহরে ধারাবাহিকভাবে চলতে পারে।

প্ল্যাটফর্ম জুড়ে, ইনস্টল-পরবর্তী হুক একটি হিসাবে কাজ করেছিল স্বয়ংক্রিয় ট্রিগার, ডেভেলপার প্যাকেজ ইনস্টল করার পরে কোনও ম্যানুয়াল ব্যবহারকারীর পদক্ষেপের প্রয়োজন হয় না — প্যাকেজ ম্যানেজারদের মধ্যে সরবরাহ শৃঙ্খলের অপব্যবহার এত বিঘ্নিত হওয়ার একটি মূল কারণ।

AdaptixC2 ক্রস-প্ল্যাটফর্ম কৌশল

AdaptixC2 কী সক্ষম করে এবং কেন এটি গুরুত্বপূর্ণ

২০২৫ সালের গোড়ার দিকে প্রথম প্রকাশ্যে আসে — এবং বসন্তের প্রথম দিকে ক্ষতিকারক ব্যবহার দেখা যায় — অ্যাডাপ্টিক্সসি২ কে একটি শোষণ-পরবর্তী কাঠামো কোবাল্ট স্ট্রাইকের সাথে তুলনীয়একবার ইমপ্লান্ট করা হলে, অপারেটররা দূরবর্তী অ্যাক্সেস, কমান্ড এক্সিকিউশন, ফাইল এবং প্রক্রিয়া ব্যবস্থাপনা এবং অনুসরণ করতে পারে একাধিক স্থিরতা বিকল্প.

এই বৈশিষ্ট্যগুলি প্রতিপক্ষকে ডেভেলপার পরিবেশ এবং CI/CD অবকাঠামোর ভিতরে অ্যাক্সেস বজায় রাখতে, পুনরুদ্ধার চালাতে এবং ফলো-অন অ্যাকশনগুলি পরিচালনা করতে সহায়তা করে। সংক্ষেপে, একটি টেম্পারড ডিপেন্ডেন্সি একটি রুটিন ইনস্টলকে একটি পার্শ্বীয় চলাচলের জন্য নির্ভরযোগ্য অবস্থান.

npm ঘটনাটি আরও বিস্তৃত প্যাটার্নের সাথে খাপ খায়। মাত্র কয়েক সপ্তাহ আগে, শাই-হুলুদ ওয়ার্ম পোস্ট-ইনস্টল কৌশলের মাধ্যমে শত শত প্যাকেজে ছড়িয়ে পড়ে, যা আক্রমণকারীরা কীভাবে অস্ত্র তৈরি করে চলেছে তা তুলে ধরে বিশ্বস্ত ওপেন-সোর্স সরবরাহ শৃঙ্খল.

ক্যাসপারস্কির বিশ্লেষণ npm ডেলিভারির জন্য একজন বিশ্বাসযোগ্য ভণ্ডকে দায়ী করে যে মিশ্রিত বাস্তব প্রক্সি কার্যকারিতা লুকানো ইনস্টলেশন লজিক সহ। এই সংমিশ্রণটি কোড বা প্যাকেজ মেটাডেটার আকস্মিক পর্যালোচনার সময় হুমকি সনাক্ত করা কঠিন করে তুলেছিল।

AdaptixC2 ফ্রেমওয়ার্ক ওভারভিউ

ব্যবহারিক পদক্ষেপ এবং পর্যবেক্ষণের জন্য নির্দেশক

প্যাকেজের স্বাস্থ্যবিধি কঠোর করে প্রতিষ্ঠানগুলি এক্সপোজার কমাতে পারে: ইনস্টলেশনের আগে সঠিক নামগুলি যাচাই করুন, নতুন বা অপ্রিয় সংগ্রহস্থলগুলি পরীক্ষা করে দেখুন, এবং ক্ষতিগ্রস্ত মডিউলের লক্ষণগুলির জন্য নিরাপত্তা পরামর্শগুলি ট্র্যাক করুন। যেখানে সম্ভব, পিন সংস্করণ, মিরর যাচাইকৃত আর্টিফ্যাক্ট এবং গেট বিল্ডগুলি পলিসি-অ্যাজ-কোড এবং SBOM চেক.

কী প্যাকেজ এবং হ্যাশ

  • প্যাকেজের নাম: https-প্রক্সি-ইউটিলস
  • DFBC0606E16A89D980C9B674385B448E - প্যাকেজ হ্যাশ
  • B8E27A88730B124868C1390F3BC42709
  • 669BDBEF9E92C3526302CA37DC48D21F
  • EDAC632C9B9FF2A2DA0EACAAB63627F4
  • 764C9E6B6F38DF11DC752CB071AE26F9
  • 04931B7DFD123E6026B460D87D842897

নেটওয়ার্ক সূচক

  • ক্লাউডসেন্টার[.]টপ/সিস/আপডেট
  • ক্লাউডসেন্টার[.]শীর্ষ/ম্যাকোস_আপডেট_আর্ম
  • ক্লাউডসেন্টার[.]top/macos_update_x64
  • ক্লাউডসেন্টার[.]শীর্ষ/ম্যাকোসআপডেট[.]প্লিস্ট
  • ক্লাউডসেন্টার[.]top/linux_update_x64
  • ক্লাউডসেন্টার[.]টপ/লিনাক্স_আপডেট_আর্ম

আপত্তিকর npm প্যাকেজটি সরিয়ে ফেলা হলেও, দলগুলির উচিত সাম্প্রতিক নির্ভরতা ইনস্টলেশনগুলি অডিট করুন, উপরের সূচকগুলি অনুসন্ধান করুন, এবং অপ্রত্যাশিত বাইনারিগুলির জন্য সিস্টেম পর্যালোচনা করুন C:\Windows\Tasks, Library/LaunchAgents, বা /tmp/.fonts-unix — বিশেষ করে যেখানে ইনস্টল-পরবর্তী স্ক্রিপ্ট চালানোর অনুমতি দেওয়া হয়েছিল।

AdaptixC2 সূচক এবং প্রতিক্রিয়া

AdaptixC2 npm কেস একত্রিত করে বিশ্বাসযোগ্য ছদ্মবেশ, স্বয়ংক্রিয় ক্রস-প্ল্যাটফর্ম স্থাপনা, এবং সক্ষম C2 টুলিং, কীভাবে একটি একক নির্ভরতা দীর্ঘস্থায়ী অ্যাক্সেসের দরজা খুলে দিতে পারে তা চিত্রিত করে; এই ধরণের আক্রমণকে ঠেকাতে প্যাকেজ নির্বাচন, পাইপলাইন তৈরি এবং টেলিমেট্রি সম্পর্কে টেকসই সতর্কতা অপরিহার্য।

সম্পর্কিত পোস্ট: