文章总结： 攻击者利用命名空间混淆仿冒Jackson库入侵MavenCentral，通过伪造域名和多层代码混淆技术植入木马下载器。恶意包利用SpringBoot自动配置机制触发，连接C2服务器并下载针对Windows及Linux系统的恶意载荷包括CobaltStrike。虽已下架，但警示开发者需严格校验依赖来源以防供应链攻击。 综合评分： 86 文章分类： 供应链安全,恶意软件,威胁情报,漏洞预警,漏洞分析

攻击者仿冒Jackson JSON库入侵Maven Central，发起定向投毒攻击

看雪学苑

看雪学苑

2025年12月31日 17:59 上海

近日，一项新型恶意软件攻击成功入侵Maven Central——这个Java开发者最信赖的软件仓库之一，攻击手段是仿冒知名的Jackson JSON库扩展组件。

这款恶意包注册在org.fasterxml.jackson.core/jackson-databind命名空间下，是Maven Central上首次被发现的、利用“域名抢注式混淆”发起的精密恶意攻击案例。其核心攻击逻辑在于利用命名空间的细微差异：正版Jackson库的命名空间为com.fasterxml.jackson.core，而恶意版本则替换为org前缀，极易导致开发者在配置依赖时误引入有害包。

此次攻击显现出极强的计划性，攻击者专门注册了伪造域名fasterxml.org，镜像正版官网fasterxml.com，与恶意包的命名空间替换策略如出一辙。该恶意域名于2025年12月17日完成注册，仅8天后就被安全厂商Aikido的分析师发现。这种短周期部署模式是恶意软件攻击的典型特征，可大幅降低被提前检测和列入黑名单的概率。

据Aikido分析师披露，该恶意包内置多层代码混淆机制以隐藏真实目的。其jar包内的代码经过重度加密，甚至通过提示注入技术干扰机器学习分析工具；在未正确转义Unicode字符的编辑器中打开时，会呈现大量干扰信息，阻碍人工审计。不过安全团队通过深度逆向，最终揭开其真实面目——一款木马下载器，可连接命令与控制（C2）服务器，在受感染设备上执行恶意载荷。

该恶意软件的感染流程分为七个阶段：开发者一旦在pom.xml中引入恶意依赖，Spring Boot应用启动时，会因扫描@Configuration类触发JacksonSpringAutoConfiguration，自动执行恶意代码。恶意程序会检查Spring Boot环境特有的ApplicationRunner.class，确保无需开发者显式调用即可运行。同时，它会搜索名为.idea.pid的文件以维持持久化，该文件名与IntelliJ IDEA项目文件高度相似，极具迷惑性。

此外，恶意软件会通过System.getProperty("os.name")识别操作系统类型，下载对应版本的恶意载荷。其C2通信地址为http://m.fasterxml.org:51211/config.txt，通过硬编码的AES-ECB密钥（9237527890923496）解密载荷链接，并将恶意文件下载至系统临时目录执行，同时重定向输出以隐藏行为。值得警惕的是，Windows版本的恶意载荷被命名为svchosts.exe，仿冒系统进程名躲避检测；而Linux和macOS版本的载荷经VirusTotal检测确认，均为Cobalt Strike远控木马，可被用于远程控制、凭据窃取和内网横向渗透。

万幸的是，该恶意包在被发现后的1.5小时内即被Maven Central下架，但仍存在短暂的窗口期导致部分开发者环境面临风险。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《攻击者仿冒Jackson JSON库入侵Maven Central，发起定向投毒攻击》