【安全圈】攻擊者偽造Jackson JSON庫(kù)入侵Maven中央倉(cāng)庫(kù)

關(guān)鍵詞

惡意軟件

一場(chǎng)新型惡意軟件攻擊活動(dòng)通過(guò)偽裝成合法的Jackson JSON庫(kù)擴(kuò)展，成功入侵了Java開(kāi)發(fā)者最信賴的代碼倉(cāng)庫(kù)之一——Maven中央倉(cāng)庫(kù)。這個(gè)惡意軟件包以org.fasterxml.jackson.core/jackson-databind命名空間發(fā)布，通過(guò)誤植域名攻擊（typosquatting）在Maven中央倉(cāng)庫(kù)發(fā)現(xiàn)的首批復(fù)雜惡意軟件案例之一。

攻擊者利用了巧妙的命名空間混淆策略：合法Jackson庫(kù)使用com.fasterxml.jackson.core命名空間，而惡意版本則使用org.fasterxml.jackson.core。這種細(xì)微差別使得開(kāi)發(fā)者很容易在項(xiàng)目中誤引入有害軟件包。

精心策劃的攻擊行動(dòng)

該惡意軟件活動(dòng)顯示出明顯的精心策劃特征。攻擊者創(chuàng)建了虛假域名fasterxml.org來(lái)鏡像合法的fasterxml.com，采用了與軟件包命名空間相同的.com到.org替換策略。該域名注冊(cè)于2025年12月17日，就在Aikido安全分析師發(fā)現(xiàn)威脅的八天前。這種從域名注冊(cè)到部署的短暫間隔是惡意軟件操作的常見(jiàn)模式，旨在降低早期檢測(cè)和被列入黑名單的幾率。

該軟件包在被發(fā)現(xiàn)后1.5小時(shí)內(nèi)即被報(bào)告給Maven中央倉(cāng)庫(kù)并下架，但在此之前可能已經(jīng)危害了開(kāi)發(fā)者系統(tǒng)。

Aikido分析師指出，該惡意軟件采用了多層混淆技術(shù)來(lái)隱藏其真實(shí)目的。jar文件中的代碼經(jīng)過(guò)嚴(yán)重混淆，甚至試圖通過(guò)提示注入技術(shù)（prompt injection）來(lái)干擾基于機(jī)器學(xué)習(xí)的分析工具。在未正確處理Unicode字符的編輯器中打開(kāi)時(shí)，代碼會(huì)顯示大量干擾信息，使人工檢查變得困難。經(jīng)過(guò)仔細(xì)分析，研究團(tuán)隊(duì)成功解混淆了惡意代碼，揭示其作為木馬下載器的真實(shí)功能——連接命令控制服務(wù)器并在受感染系統(tǒng)上執(zhí)行有害負(fù)載。

感染機(jī)制與負(fù)載投放

該惡意軟件通過(guò)七階段感染流程運(yùn)作，始于開(kāi)發(fā)者將惡意依賴項(xiàng)添加到其pom.xml文件時(shí)。一旦被包含，當(dāng)Spring Boot應(yīng)用啟動(dòng)時(shí)，該軟件包會(huì)自動(dòng)執(zhí)行，因?yàn)镾pring會(huì)掃描@Configuration類并發(fā)現(xiàn)JacksonSpringAutoConfiguration。惡意軟件會(huì)檢查ApplicationRunner.class（該文件始終存在于Spring Boot環(huán)境中），確保惡意代碼無(wú)需開(kāi)發(fā)者顯式調(diào)用即可運(yùn)行。

感染機(jī)制包括持久性檢查，惡意軟件會(huì)在工作目錄中搜索名為.idea.pid的文件。這個(gè)文件名巧妙地混入IntelliJ IDEA項(xiàng)目文件中，降低了開(kāi)發(fā)者發(fā)現(xiàn)項(xiàng)目結(jié)構(gòu)中異常文件的可能性。隨后，惡意軟件通過(guò)檢查System.getProperty("os.name")進(jìn)行環(huán)境指紋識(shí)別，確定系統(tǒng)運(yùn)行的是Windows、macOS還是Linux，并據(jù)此下載適合檢測(cè)到的操作系統(tǒng)的負(fù)載。

命令控制通信通過(guò)"http[:]//m[.]fasterxml[.]org:51211/config[.]txt"進(jìn)行，該地址提供AES加密的配置數(shù)據(jù)。

惡意軟件使用硬編碼的AES-ECB密鑰（9237527890923496）解密每個(gè)支持平臺(tái)的負(fù)載URL。解密后的格式遵循os|url模式，例如Windows系統(tǒng)的win|http[:]//103.127.243[.]82:8000/http/192he23/svchosts.exe。下載二進(jìn)制文件payload.bin到系統(tǒng)臨時(shí)目錄后，惡意軟件會(huì)執(zhí)行該文件，同時(shí)在Unix系統(tǒng)上將輸出重定向到/dev/null，在Windows上重定向到NUL，以抑制任何可見(jiàn)活動(dòng)。Windows負(fù)載故意使用svchosts.exe名稱（仿冒合法的svchost.exe進(jìn)程）來(lái)避免檢測(cè)。

通過(guò)VirusTotal對(duì)下載負(fù)載的分析證實(shí)，Linux和macOS二進(jìn)制文件是Cobalt Strike信標(biāo)——一種強(qiáng)大的滲透測(cè)試工具，常被勒索軟件運(yùn)營(yíng)商和APT（高級(jí)持續(xù)性威脅）組織用于遠(yuǎn)程訪問(wèn)、憑證竊取和網(wǎng)絡(luò)橫向移動(dòng)。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！