概要:npmサプライチェーン攻撃で「AdaptixC2」が拡散
Kasperskyのサイバーセキュリティ研究者たちは、npmエコシステムを標的とした高度なサプライチェーン攻撃を発見しました。この攻撃では、正規のプロキシユーティリティを装った悪意あるパッケージを通じて、「AdaptixC2」というポストエクスプロイトフレームワークが配布されました。これは、オープンソースソフトウェアリポジトリが高度なマルウェア配信の攻撃ベクトルとして利用されるリスクが高まっていることを示しています。
2025年10月、Kasperskyの専門家は「https-proxy-utils」という悪意あるnpmパッケージを特定しました。これは、開発者を欺いてシステムにマルウェアをインストールさせることを目的としていました。攻撃者は、週に約5,000万回ダウンロードされる人気の正規パッケージ「proxy-from-env」の機能を模倣することで、その信頼性を高めました。
巧妙な手口:タイポスクワッティングと偽装
この悪意あるパッケージ名は、「http-proxy-agent」や「https-proxy-agent」といった、合計で週に1億6,000万回以上ダウンロードされる信頼されたパッケージに似せて意図的に作成されました。これは、開発者が誤って間違ったパッケージをインストールしたり、パッケージ名を注意深く確認しなかったりするタイポスクワッティング技術を悪用したものです。この悪意あるパッケージはnpmレジストリから削除されましたが、この事件は、攻撃者がオープンソースエコシステムに対する開発者の信頼をいかに容易に悪用できるかを示しています。
AdaptixC2フレームワークの脅威:マルチプラットフォーム対応の攻撃手法
この攻撃の特徴は、その洗練されたマルチプラットフォーム配信メカニズムにあります。悪意あるパッケージには、開発者がパッケージをインストールすると自動的に実行されるポストインストールスクリプトが含まれており、被害者のオペレーティングシステムに合わせてAdaptixC2エージェントをダウンロード・展開しました。AdaptixC2は、2025年初頭に公開され、有名なCobalt Strikeポストエクスプロイトフレームワークの代替として機能し、2025年春に初めて悪用が確認されました。
- Windowsシステムの場合:攻撃は、AdaptixC2エージェントをDLLファイルとして「C:\Windows\Tasks」ディレクトリにドロップするDLLサイドローディング技術を使用しました。その後、スクリプトは正規の「msdtc.exe」ファイルを同じ場所にコピーし、これを実行することで悪意あるDLLをロードさせました。
- macOSの場合:ペイロードは実行可能ファイルとして「Library/LaunchAgents」ディレクトリにダウンロードされ、永続化のためのplist設定ファイルが付属していました。スクリプトは、システムがx64アーキテクチャかARMアーキテクチャかをインテリジェントに検出し、適切なペイロードバリアントを取得しました。
- Linuxシステムの場合:フレームワークのエージェントは「/tmp/.fonts-unix」一時ディレクトリにダウンロードされました。macOSの実装と同様に、スクリプトはx64またはARMシステム用のアーキテクチャ固有のバイナリファイルを配信し、マルウェアを実行するための実行権限を付与しました。
AdaptixC2フレームワークが正常に展開されると、攻撃者はリモートアクセス、コマンド実行、ファイルおよびプロセス管理、複数の永続化手法を含む広範な機能を手に入れます。これらの機能により、攻撃者は侵害されたシステムへの継続的なアクセスを維持し、ネットワーク偵察を行い、追加の攻撃段階を展開することができます。このフレームワークは、開発者のマシンをより広範なネットワーク侵入の足がかりに変えてしまうのです。
広がる影響と対策:サプライチェーン攻撃の現状と開発者への提言
この事件は、npmを標的としたサプライチェーン攻撃の憂慮すべき傾向の一部です。この発見のわずか1ヶ月前には、Shai-Huludワームが同様のポストインストールスクリプト技術を使用して500以上のnpmパッケージに感染しました。これらの事件は、脅威アクターがポストエクスプロイトフレームワークやその他のマルウェアを配布するために、信頼されたオープンソースサプライチェーンをいかに悪用しているかを浮き彫りにしています。
npmパッケージに依存する組織や開発者は、これらの進化する脅威に大きく晒されています。セキュリティ専門家は、オープンソースソフトウェアを使用する開発者や組織に対し、いくつかの保護措置を推奨しています。
- インストール前にパッケージの正確な名前を注意深く確認する。
- 人気のない新規作成されたリポジトリを徹底的に精査する。
- 侵害されたパッケージやライブラリに関する頻繁に更新されるフィードを監視する。
AdaptixC2事件は、依存関係のインストールのような日常的な開発活動でさえ、適切なセキュリティ対策が講じられていない場合、高度なサイバー攻撃の侵入経路となり得ることを改めて強く警告しています。