Các nhà nghiên cứu an ninh mạng tại Kaspersky đã phát hiện một cuộc tấn công chuỗi cung ứng npm tinh vi. Trong đó, các tác nhân đe dọa đã phân phối framework post-exploitation AdaptixC2 thông qua một gói mã độc ngụy trang thành tiện ích proxy hợp pháp.

Khám phá này nhấn mạnh rủi ro ngày càng tăng của các kho lưu trữ phần mềm mã nguồn mở như các vector tấn công. Đây là phương thức được sử dụng để phân phối mã độc tinh vi, đặc biệt nhắm vào hệ sinh thái npm.

Phân Tích Gói Mã Độc và Kỹ Thuật Typosquatting

Vào tháng 10 năm 2025, các chuyên gia Kaspersky đã xác định một gói npm độc hại mang tên https-proxy-utils. Gói này được thiết kế để lừa các nhà phát triển cài đặt mã độc vào hệ thống của họ.

Mục tiêu chính là khai thác niềm tin của cộng đồng vào các thành phần mã nguồn mở. Gói độc hại đã khéo léo bắt chước các tiện ích liên quan đến proxy hợp pháp, tự giới thiệu là một công cụ quản lý proxy.

Để tăng tính tin cậy, các tác nhân đe dọa đã sao chép chức năng từ proxy-from-env, một gói hợp pháp phổ biến với khoảng 50 triệu lượt tải xuống hàng tuần.

Tên của gói độc hại được cố tình tạo ra để giống với các gói đáng tin cậy như http-proxy-agent và https-proxy-agent. Các gói này tổng cộng nhận được hơn 160 triệu lượt tải xuống mỗi tuần.

Kỹ thuật typosquatting này khai thác những nhà phát triển có thể vô tình cài đặt sai gói hoặc không kiểm tra kỹ tên gói. Sự cố này một lần nữa khẳng định tầm quan trọng của việc cảnh giác trước các kỹ thuật lừa đảo trong bối cảnh các cuộc tấn công chuỗi cung ứng npm ngày càng gia tăng.

Mặc dù gói độc hại đã bị xóa khỏi registry npm, sự cố này cho thấy các kẻ tấn công có thể dễ dàng lạm dụng sự tin tưởng của nhà phát triển vào hệ sinh thái mã nguồn mở để phát tán mối đe dọa mạng.

Các Chỉ Số Nhận Dạng (IOCs)

• Tên gói npm độc hại:https-proxy-utils

Khung Khai Thác AdaptixC2 và Cơ Chế Phân Phối

Điểm khác biệt của cuộc tấn công chuỗi cung ứng npm này là cơ chế phân phối đa nền tảng tinh vi. Gói độc hại chứa một script post-install tự động thực thi khi nhà phát triển cài đặt gói.

Script này sau đó sẽ tải xuống và triển khai tác nhân AdaptixC2 được tùy chỉnh cho hệ điều hành của nạn nhân. Đây là một phương pháp hiệu quả để đảm bảo mã độc tương thích và hoạt động trên nhiều môi trường.

AdaptixC2, ra mắt công khai vào đầu năm 2025, đóng vai trò là giải pháp thay thế cho framework post-exploitation nổi tiếng Cobalt Strike. Mã độc này lần đầu tiên được quan sát sử dụng với mục đích xấu vào mùa xuân năm 2025.

Cơ Chế Khai Thác Trên Các Nền Tảng

Hệ thống Windows

Đối với hệ thống Windows, cuộc tấn công sử dụng kỹ thuật DLL sideloading. Tác nhân AdaptixC2 được thả xuống dưới dạng tệp DLL vào thư mục C:WindowsTasks.

Script sau đó sao chép tệp msdtc.exe hợp pháp vào cùng vị trí và thực thi nó. Quá trình này sẽ tải DLL độc hại, cho phép mã độc hoạt động mà không bị phát hiện dễ dàng.

Hệ thống macOS

Trên macOS, payload được tải xuống dưới dạng tệp thực thi vào thư mục Library/LaunchAgents. Kèm theo là một tệp cấu hình plist để duy trì quyền truy cập (persistence).

Script này thông minh trong việc phát hiện hệ thống đang chạy kiến trúc x64 hay ARM. Từ đó, nó tải về biến thể payload phù hợp, đảm bảo hiệu quả của cuộc tấn công mạng trên nhiều loại thiết bị Mac.

Hệ thống Linux

Các hệ thống Linux được nhắm mục tiêu thông qua một cách tiếp cận khác. Tác nhân của framework được tải xuống vào thư mục tạm thời /tmp/.fonts-unix.

Tương tự như triển khai trên macOS, script cung cấp các tệp nhị phân dành riêng cho kiến trúc x64 hoặc ARM. Sau đó, nó gán quyền thực thi để cho phép mã độc chạy, tiếp tục khai thác các lỗ hổng npm trong môi trường Linux.

Khả Năng và Tác Động của AdaptixC2

Sau khi được triển khai thành công, framework AdaptixC2 cung cấp cho kẻ tấn công các khả năng mở rộng. Chúng bao gồm truy cập từ xa, thực thi lệnh, quản lý tệp và quy trình, cùng nhiều phương pháp duy trì quyền truy cập.

Các tính năng này cho phép các tác nhân đe dọa duy trì quyền truy cập liên tục vào các hệ thống bị xâm nhập. Đồng thời, chúng có thể thực hiện trinh sát mạng và triển khai các giai đoạn tấn công bổ sung.

Framework này về cơ bản biến máy của nhà phát triển thành một điểm khởi đầu để xâm nhập mạng rộng hơn. Đây là một ví dụ điển hình về cách các cuộc tấn công chuỗi cung ứng npm có thể dẫn đến hậu quả nghiêm trọng.

Bối Cảnh Các Cuộc Tấn Công Chuỗi Cung Ứng npm Khác

Sự cố này là một phần của xu hướng đáng lo ngại về các cuộc tấn công chuỗi cung ứng nhắm vào npm. Chỉ một tháng trước phát hiện này, sâu Shai-Hulud đã lây nhiễm hơn 500 gói npm bằng các kỹ thuật script post-install tương tự.

Các trường hợp này minh chứng cho sự phức tạp của các cuộc tấn công chuỗi cung ứng npm và cách các tác nhân đe dọa ngày càng khai thác chuỗi cung ứng mã nguồn mở đáng tin cậy. Mục tiêu là phân phối các framework post-exploitation và các mã độc khác.

Các tổ chức và nhà phát triển dựa vào các gói npm trong sản phẩm của họ phải đối mặt với rủi ro đáng kể trước những mối đe dọa mạng đang phát triển này. Đây là một vấn đề nghiêm trọng cần được xem xét trong chiến lược an ninh mạng tổng thể.

Biện Pháp Bảo Vệ và Khuyến Nghị

Các chuyên gia bảo mật khuyến nghị một số biện pháp bảo vệ cho các nhà phát triển và tổ chức sử dụng phần mềm mã nguồn mở. Việc kiểm tra và xác minh cẩn thận có thể giảm thiểu nguy cơ từ lỗ hổng npm và các rủi ro liên quan.

Để giảm thiểu rủi ro từ các cuộc tấn công chuỗi cung ứng npm, các nhà phát triển cần thực hiện các hành động sau:

• Xác minh cẩn thận tên chính xác của các gói trước khi cài đặt để tránh typosquatting.
• Kiểm tra kỹ các kho lưu trữ ít phổ biến và mới được tạo để phát hiện dấu hiệu bất thường.
• Theo dõi các nguồn cấp dữ liệu được cập nhật thường xuyên về các gói và thư viện bị xâm nhập.

Sự cố AdaptixC2 là một lời nhắc nhở rõ ràng rằng ngay cả các hoạt động phát triển thường xuyên như cài đặt các phần phụ thuộc cũng có thể trở thành điểm xâm nhập cho các cuộc tấn công mạng tinh vi nếu không tuân thủ các thực hành bảo mật phù hợp.

Tham khảo thêm về phát hiện này tại: Kaspersky Securelist.