FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

长期被视为比npm更安全的Java生态系统，近日遭遇一起新型且高度复杂的软件供应链攻击。Aikido Security最新报告披露，Maven中央仓库中发现一个伪装成常用Jackson JSON库的恶意组件，攻击者通过精妙的"前缀替换"手法欺骗开发者。

真假难辨的冒牌库

这个被识别为org.fasterxml.jackson.core/jackson-databind的恶意包，是正版库的完美仿制品。攻击者将合法命名空间com.fasterxml替换为自己控制的org.fasterxml，构造出肉眼几乎无法辨别的陷阱。Jackson库作为现代Java开发的基石，自然成为攻击者的高价值目标。报告指出："这种拼写错误攻击（typosquatting）具有双重伪装：恶意包使用org.fasterxml.jackson.core命名空间，而正版Jackson库发布在com.fasterxml.jackson.core下"。

精心设计的C2基础设施

这种欺骗手法延伸到了命令与控制（C2）基础设施。正如软件包将.com替换为.org，恶意程序也与攻击者控制的fasterxml.org通信，而非合法的fasterxml.com。报告强调："从.com到.org的替换足够隐蔽，能通过粗略检查，但完全处于攻击者控制之下"。与其他代码仓库常见的简单脚本攻击不同，该恶意软件专为规避检测和持久化而设计，包含能够投递平台特定可执行文件的多阶段载荷。

针对Java生态的新型威胁

研究人员特别指出："攻击者精心设计了多阶段载荷，包含加密配置字符串、用于投递平台特定可执行文件的远程C2服务器，以及多层混淆以阻碍分析"。这种攻击在Java生态中极为罕见，"这是我们首次在Maven中央仓库检测到如此复杂的恶意软件"。该事件暴露了Java反向域名命名惯例的安全缺陷——虽然该系统旨在防止命名冲突，但目前缺乏标记明显TLD（顶级域名）替换的机制。

亟待解决的防御缺口

尽管恶意包在报告后1.5小时内即被移除，但该技术本身仍构成严重威胁。"前缀替换"攻击实施门槛低，却能为针对Google或Apache等其他主流库的攻击者带来高额回报。报告警告："这是种简单的攻击方式，我们预计会出现模仿者...随着该手法被公开，其他攻击者必将尝试对其他高价值库实施类似前缀替换"。报告最后紧急呼吁Maven中央仓库实施"前缀相似性检测"机制，在新包模仿高价值命名空间时发出警报，"必须趁这种攻击尚未泛滥时立即部署防御措施"。

参考来源：

“Prefix Swap” Panic: Sophisticated “Jackson” Imposter Infiltrates Maven Central

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）