サイバーニュース.jp

世界のサイバーなニュースを配信

npmサプライチェーン攻撃で「AdaptixC2」フレームワークが浮上:開発者への新たな脅威

カテゴリ:

, , , , , , , , ,

概要:npmサプライチェーン攻撃とAdaptixC2

サイバーセキュリティ研究機関カスペルスキーは、npmエコシステムを標的とした高度なサプライチェーン攻撃を明らかにしました。この攻撃では、正規のプロキシユーティリティを装った悪意のあるパッケージを通じて、AdaptixC2というポストエクスプロイトフレームワークが配布されました。これは、オープンソースソフトウェアリポジトリが高度なマルウェア配信の攻撃ベクトルとして利用されるリスクの高まりを示しています。

2025年10月、カスペルスキーの専門家は「https-proxy-utils」という悪意のあるnpmパッケージを発見しました。このパッケージは、開発者がシステムにマルウェアをインストールするように騙すことを目的としていました。攻撃者は、週に約5000万回ダウンロードされる人気の正規パッケージ「proxy-from-env」の機能を模倣し、その信頼性を高めようとしました。

さらに、この悪意のあるパッケージ名は、「http-proxy-agent」や「https-proxy-agent」といった、合計で週に1億6000万回以上ダウンロードされる信頼されたパッケージに似せて意図的に作成されました。これは、開発者が誤って間違ったパッケージをインストールしたり、パッケージ名を注意深く確認しなかったりする状況を悪用するタイポスクワッティングの手法です。この悪意のあるパッケージはnpmレジストリから削除されましたが、この事件は、攻撃者がオープンソースエコシステムへの信頼をいかに容易に悪用できるかを示しています。

AdaptixC2フレームワークの詳細

この攻撃を際立たせているのは、その洗練されたマルチプラットフォーム配信メカニズムです。悪意のあるパッケージには、開発者がパッケージをインストールすると自動的に実行されるポストインストールスクリプトが含まれており、被害者のオペレーティングシステムに合わせて調整されたAdaptixC2エージェントをダウンロード・展開しました。AdaptixC2は、2025年初頭に公開された、よく知られたCobalt Strikeポストエクスプロイトフレームワークの代替として機能し、2025年春に初めて悪用が確認されました。

  • Windowsシステムの場合:攻撃はDLLサイドローディング技術を採用し、AdaptixC2エージェントをDLLファイルとして「C:\Windows\Tasks」ディレクトリにドロップしました。その後、スクリプトは正規の「msdtc.exe」ファイルを同じ場所にコピーして実行し、これにより悪意のあるDLLがロードされました。
  • macOSの場合:ペイロードは実行可能ファイルとして「Library/LaunchAgents」ディレクトリにダウンロードされ、永続化のためのplist構成ファイルが付属していました。スクリプトは、システムがx64アーキテクチャで動作しているかARMアーキテクチャで動作しているかをインテリジェントに検出し、適切なペイロードバリアントを取得しました。
  • Linuxシステムの場合:フレームワークのエージェントは「/tmp/.fonts-unix」一時ディレクトリにダウンロードされるという異なるアプローチが取られました。macOSの実装と同様に、スクリプトはx64またはARMシステム用のアーキテクチャ固有のバイナリファイルを配信し、マルウェアを実行可能にするために実行権限を付与しました。

広範な影響と対策

AdaptixC2フレームワークは、一度正常に展開されると、リモートアクセス、コマンド実行、ファイルおよびプロセス管理、複数の永続化方法を含む広範な機能攻撃者に提供します。これらの機能により、攻撃者は侵害されたシステムへの継続的なアクセスを維持し、ネットワーク偵察を実行し、追加の攻撃段階を展開することができます。このフレームワークは、本質的に開発者のマシンを、より広範なネットワーク侵入の足がかりに変えてしまいます。

この事件は、npmを標的としたサプライチェーン攻撃の憂慮すべき傾向の一部です。この発見のわずか1ヶ月前には、Shai-Huludワームが同様のポストインストールスクリプト技術を使用して500以上のnpmパッケージを感染させました。これらの事件は、脅威アクターがポストエクスプロイトフレームワークやその他のマルウェアを配布するために、信頼されたオープンソースサプライチェーンをいかに悪用しているかを浮き彫りにしています。

セキュリティ専門家は、オープンソースソフトウェアを使用する開発者や組織に対し、いくつかの保護措置を推奨しています。

  • インストール前にパッケージの正確な名前を注意深く確認する。
  • 人気のない新規作成されたリポジトリを徹底的に精査する。
  • 侵害されたパッケージやライブラリに関する頻繁に更新されるフィードを監視する。

AdaptixC2事件は、依存関係のインストールのような日常的な開発活動でさえ、適切なセキュリティ対策が講じられていない場合、高度なサイバー攻撃のエントリポイントになり得ることを改めて強く警告しています。

元記事: https://gbhackers.com/npm-supply-chain-2/

投稿をさらに読み込む