В сентябре этого года было зафиксировано сразу два инцидента, когда в репозитории пакетов npm загружалось вредоносное программное обеспечение. Имел место как единичный случай загрузки вредоносного пакета, так и масштабная атака Shai-Hulud, в ходе которой у злоумышленников получилось заразить сразу несколько популярных программ. Данные инциденты можно классифицировать как атаку на цепочку поставок: включение вредоносных пакетов в другое ПО может в итоге привести к гораздо более серьезным последствиям, чем компрометация рабочей станции единственного разработчика. На прошлой неделе специалисты «Лаборатории Касперского» отчитались об обнаружении еще одного вредоносного npm-пакета и опубликовали подробное описание его работы.

Вредоносный пакет был обнаружен в октябре, и имел достаточно убедительное название https-proxy-utils. Легитимные пакеты с похожими именами скачиваются десятки миллионов раз в неделю. Легитимная функциональность полностью скопирована из пакета proxy-from-env, но помимо нее в код добавлен вредоносный скрипт, который загружает и запускает фреймворк для постэксплуатации AdaptixC2. AdaptixC2 — это набор инструментов, позволяющий «закрепиться» в системе после первоначального взлома. В подробном обзоре фреймворка от специалистов Palo Alto Networks показаны его возможности: от анализа запущенных программ и файловой системы до прекращения работы определенных процессов и запуска собственного кода.

Как и более известный набор инструментов Cobalt Strike, AdaptixC2 позиционируется как решение для санкционированного тестирования инфраструктуры на наличие уязвимостей. Это, впрочем, не мешает злоумышленникам интегрировать оба фреймворка во вредоносное ПО. Код AdaptixC2 был опубликован в открытом доступе в январе 2025 года, и уже весной были зафиксированы попытки его использования во вредоносных целях.

На скриншоте выше справа показан код легитимного пакета, слева — вредоносного. Выделена строка, запускающая работу AdaptixC2. Фреймворк предоставляет инструменты для запуска под Windows, Linux и macOS. В случае Windows-системы вредоносный агент сохраняется в виде DLL-библиотеки в папку C:\Windows\Tasks. Туда же копируется легитимный файл msdtc.exe, который позволяет выполнить вредоносный код методом DLL sideloading. Под macOS и Linux существуют версии агента для архитектур x86 и ARM. Подходящая полезная нагрузка, в зависимости от архитектуры и операционной системы, скачивается с удаленного сервера.

Успешная установка агента AdaptixC2 дает злоумышленникам возможности удаленного доступа к системе, выполнения произвольных команд, управления файлами и процессами. Фреймворк предлагает различные варианты закрепления в системе и может использоваться для анализа сети и дальнейшего развития атаки. Чтобы минимизировать риск случайной установки вредоносного ПО, эксперты «Лаборатории Касперского» рекомендуют как базовые меры (тщательно проверять название скачиваемого пакета, с подозрением относиться к новым пакетам и репозиториям), так и продвинутые методы защиты, например — подписку на постоянно обновляемый фид скомпрометированных пакетов и библиотек.

Что еще произошло

В двух других публикациях экспертов «Лаборатории Касперского» разбирается деятельность APT-группировки Mysterious Elephant, действующей в Азиатско-Тихоокеанском регионе, а также анализируется феномен «черного SEO», при котором скрытые ссылки на продвигаемые ресурсы зачастую размещаются на веб-страницах без ведома их владельцев.

Команда Google Threat Intelligence описала случай распространения вредоносного кода в публичном блокчейне группировкой, предположительно связанной с Северной Кореей.

Опубликовано подробное исследование вредоносной кампании, в которой пользователей ПК на базе macOS заманивают на страницы, якобы распространяющие популярные программы и сервисы. В частности, веб-страницы якобы предлагают скачать пакет Homebrew, воспользоваться сервисами LogMeIn и TradingView. Кампания использует метод FileFix, когда пользователю для установки программы предлагают скопировать скрипт и выполнить его в терминале. В другом исследовании рассказывается об активном распространении вредоносных программ похожим методом ClickFix через ролики в соцсети TikTok. Жертв заманивают обещаниями бесплатного доступа к популярным сервисам, например к аудиостримингу Spotify.

Натали Сильванович, исследователь из команды Google Project Zero, раскрыла детали необычной уязвимости в кодеке Dolby Unified Decoder. Ошибка в обработке входящих данных может вызывать переполнение буфера и в худшем случае, на ряде смартфонов под управлением Android, может приводить к выполнению произвольного кода без необходимости каких-либо действий со стороны жертвы.

В очередном наборе патчей для продуктов Microsoft закрыто 172 проблемы, включая шесть уязвимостей нулевого дня. Среди них — уязвимость в драйвере для модемов (CVE-2025-24990), которую эксплуатировали злоумышленники. Ввиду крайне редкого использования таких устаревших устройств драйвер просто был удален из системы.