长期被视为比npm更安全的Java生态系统,近日遭遇一起新型且高度复杂的软件供应链攻击。Aikido Security最新报告披露,Maven中央仓库中发现一个伪装成常用Jackson JSON库的恶意组件,攻击者通过精妙的"前缀替换"手法欺骗开发者。
真假难辨的冒牌库
这个被识别为org.fasterxml.jackson.core/jackson-databind的恶意包,是正版库的完美仿制品。攻击者将合法命名空间com.fasterxml替换为自己控制的org.fasterxml,构造出肉眼几乎无法辨别的陷阱。Jackson库作为现代Java开发的基石,自然成为攻击者的高价值目标。报告指出:"这种拼写错误攻击(typosquatting)具有双重伪装:恶意包使用org.fasterxml.jackson.core命名空间,而正版Jackson库发布在com.fasterxml.jackson.core下"。
精心设计的C2基础设施
这种欺骗手法延伸到了命令与控制(C2)基础设施。正如软件包将.com替换为.org,恶意程序也与攻击者控制的fasterxml.org通信,而非合法的fasterxml.com。报告强调:"从.com到.org的替换足够隐蔽,能通过粗略检查,但完全处于攻击者控制之下"。与其他代码仓库常见的简单脚本攻击不同,该恶意软件专为规避检测和持久化而设计,包含能够投递平台特定可执行文件的多阶段载荷。
针对Java生态的新型威胁
研究人员特别指出:"攻击者精心设计了多阶段载荷,包含加密配置字符串、用于投递平台特定可执行文件的远程C2服务器,以及多层混淆以阻碍分析"。这种攻击在Java生态中极为罕见,"这是我们首次在Maven中央仓库检测到如此复杂的恶意软件"。该事件暴露了Java反向域名命名惯例的安全缺陷------虽然该系统旨在防止命名冲突,但目前缺乏标记明显TLD(顶级域名)替换的机制。
亟待解决的防御缺口
尽管恶意包在报告后1.5小时内即被移除,但该技术本身仍构成严重威胁。"前缀替换"攻击实施门槛低,却能为针对Google或Apache等其他主流库的攻击者带来高额回报。报告警告:"这是种简单的攻击方式,我们预计会出现模仿者...随着该手法被公开,其他攻击者必将尝试对其他高价值库实施类似前缀替换"。报告最后紧急呼吁Maven中央仓库实施"前缀相似性检测"机制,在新包模仿高价值命名空间时发出警报,"必须趁这种攻击尚未泛滥时立即部署防御措施"。