文章总结： Maven中央仓库遭新型供应链攻击，恶意包利用前缀替换手法伪装成Jackson库。攻击者将命名空间com替换为org并控制对应域名，投递多阶段混淆载荷。尽管恶意包已被移除，但该低门槛高回报手法暴露了Java生态命名惯例缺陷。建议立即部署前缀相似性检测机制，防范针对主流库的仿冒攻击。 综合评分： 86 文章分类： 供应链安全,漏洞预警,恶意软件

【安全圈】”前缀替换”攻击引发恐慌：高度仿真的”Jackson”冒牌库入侵Maven中央仓库

安全圈

2025年12月29日 19:01 江苏

关键词

个人信息贩卖

长期被视为比npm更安全的Java生态系统，近日遭遇一起新型且高度复杂的软件供应链攻击。Aikido Security最新报告披露，Maven中央仓库中发现一个伪装成常用Jackson JSON库的恶意组件，攻击者通过精妙的”前缀替换”手法欺骗开发者。

真假难辨的冒牌库

这个被识别为org.fasterxml.jackson.core/jackson-databind的恶意包，是正版库的完美仿制品。攻击者将合法命名空间com.fasterxml替换为自己控制的org.fasterxml，构造出肉眼几乎无法辨别的陷阱。Jackson库作为现代Java开发的基石，自然成为攻击者的高价值目标。报告指出：”这种拼写错误攻击（typosquatting）具有双重伪装：恶意包使用org.fasterxml.jackson.core命名空间，而正版Jackson库发布在com.fasterxml.jackson.core下”。

精心设计的C2基础设施

这种欺骗手法延伸到了命令与控制（C2）基础设施。正如软件包将.com替换为.org，恶意程序也与攻击者控制的fasterxml.org通信，而非合法的fasterxml.com。报告强调：”从.com到.org的替换足够隐蔽，能通过粗略检查，但完全处于攻击者控制之下”。与其他代码仓库常见的简单脚本攻击不同，该恶意软件专为规避检测和持久化而设计，包含能够投递平台特定可执行文件的多阶段载荷。

针对Java生态的新型威胁

研究人员特别指出：”攻击者精心设计了多阶段载荷，包含加密配置字符串、用于投递平台特定可执行文件的远程C2服务器，以及多层混淆以阻碍分析”。这种攻击在Java生态中极为罕见，”这是我们首次在Maven中央仓库检测到如此复杂的恶意软件”。该事件暴露了Java反向域名命名惯例的安全缺陷——虽然该系统旨在防止命名冲突，但目前缺乏标记明显TLD（顶级域名）替换的机制。

亟待解决的防御缺口

尽管恶意包在报告后1.5小时内即被移除，但该技术本身仍构成严重威胁。”前缀替换”攻击实施门槛低，却能为针对Google或Apache等其他主流库的攻击者带来高额回报。报告警告：”这是种简单的攻击方式，我们预计会出现模仿者…随着该手法被公开，其他攻击者必将尝试对其他高价值库实施类似前缀替换”。报告最后紧急呼吁Maven中央仓库实施”前缀相似性检测”机制，在新包模仿高价值命名空间时发出警报，”必须趁这种攻击尚未泛滥时立即部署防御措施”。

END

阅读推荐

【安全圈】70余万条学生信息被多次贩卖！副校长买，平台工程师偷，中间还倒了几次手

【安全圈】暗网出现1.97TB罗技数据

【安全圈】Coinbase：涉 5 月客户数据泄露案的前客服人员在印度被捕

【安全圈】两名辅警盗用派出所副所长数字证书售卖公民信息牟利11.7万元

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】”前缀替换”攻击引发恐慌：高度仿真的”Jackson”冒牌库入侵Maven中央仓库》