Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Typosquatting-атака на Maven Central: подмена библиотеки Jackson

3 мин
Недавнее расследование выявило сложную вредоносную кампанию, нацеленную на экосистему Maven Central. Злоумышленники использовали технику typosquatting, изменив префикс в соглашении об именовании пакетов Java таким образом, чтобы зарегистрировать вредоносный пакет под доменным пространством fasterxml.org — отличающимся от легитимного пространства имён библиотеки Jackson (com.fasterxml.jackson.core). Эта подмена префиксов в стиле TLD выявила значительное «слепое пятно» в текущем процессе валидации пакетов на Maven Central. Ключевые элементы атаки: «Использование замены префиксов в стиле TLD представляет собой значительное «слепое пятно» в процессе проверки пакетов Maven Central» Cobalt Strike изначально создавался как инструмент для red teaming, однако его ставшие общедоступными элементы — в частности, Cobalt Strike Beacon — активно используются операторами программ-вымогателей и APT-группировками. Присутствие Beacon в цепочке поставок означает, что противник обладает высокими навыками и
Оглавление

Недавнее расследование выявило сложную вредоносную кампанию, нацеленную на экосистему Maven Central. Злоумышленники использовали технику typosquatting, изменив префикс в соглашении об именовании пакетов Java таким образом, чтобы зарегистрировать вредоносный пакет под доменным пространством fasterxml.org — отличающимся от легитимного пространства имён библиотеки Jackson (com.fasterxml.jackson.core). Эта подмена префиксов в стиле TLD выявила значительное «слепое пятно» в текущем процессе валидации пакетов на Maven Central.

Как была организована атака

Ключевые элементы атаки:

  • Злоумышленники зарегистрировали домен fasterxml.org и опубликовали пакет, схожий с Jackson, но отличавшийся по префиксу/namespace.
  • Такая подмена позволяла разработчикам случайно подключить вредоносную зависимость вместо легитимной библиотеки.
  • Анализ показал, что связанное вредоносное ПО последовательно идентифицировалось как Cobalt Strike Beacon несколькими поставщиками средств обнаружения.
  • Домен fasterxml.org был зарегистрирован всего восемь дней до анализа (анализ проведён 17 декабря 2025 года), что указывает на регистрацию около 9 декабря 2025 года и активную разработку перед публикацией.
«Использование замены префиксов в стиле TLD представляет собой значительное «слепое пятно» в процессе проверки пакетов Maven Central»

Почему обнаружение Cobalt Strike важно

Cobalt Strike изначально создавался как инструмент для red teaming, однако его ставшие общедоступными элементы — в частности, Cobalt Strike Beacon — активно используются операторами программ-вымогателей и APT-группировками. Присутствие Beacon в цепочке поставок означает, что противник обладает высокими навыками и, вероятно, преследует цели, выходящие за рамки простого криптомайнинга: удалённый доступ, сбор учетных данных, латеральное перемещение и развертывание дополнительных payload’ов.

Последствия и риски

  • Компрометация широко используемой библиотеки подрывает доверие к экосистеме зависимостей.
  • Разработчики, автоматически подтягивающие пакеты, рискуют внедрить бэкдор в свои проекты и производственные среды.
  • Отсутствие механизмов для выявления подмен префиксов делает supply chain уязвимой для целенаправленных атак.
  • Использование инструментов уровня Cobalt Strike говорит о целенаправленной, ресурсно обеспеченной кампании, а не о случайной мошеннической активности.

Рекомендации — что нужно сделать немедленно

Чтобы снизить риски повторения подобных инцидентов, предлагаются следующие меры как для Maven Central, так и для разработчиков и организаций:

  • Внедрить детекцию подмен префиксов: автоматические проверки сопоставления namespace пакета с доменом издателя и индексом доверия.
  • Усилить проверку новых пакетов: ручной и автоматический скрининг для пакетов, похожих на популярные библиотеки по имени или namespace.
  • Верификация издателя: требовать подтверждения владения доменом, связанного с namespace (например, проверка записи DNS или владения SSL-сертификатом).
  • Подпись артефактов и политика доверия: поощрять или обязать использование подписанных релизов и строгих политик проверки подписей на стороне клиентов.
  • Сканирование на известные сигнатуры и поведению: интеграция механизмов обнаружения для выявления таких угроз, как Cobalt Strike Beacon, на этапе загрузки и индексирования пакетов.
  • Оповещения и быстрый ответ: оперативные уведомления пользователей о выявленных подменах, механизмы быстрого удаления/блокировки пакетов и процедуры инцидент-ответа.
  • Образование и рекомендации для разработчиков: инструкции по проверке источника зависимости и настройке инструментов SBOM/Software Composition Analysis.

Вывод

Инцидент с регистрацией fasterxml.org и публикацией поддельного пакета, маскирующегося под библиотеку Jackson, подчёркивает нарастающую угрозу целенаправленных атак на цепочки поставок ПО. Отсутствие валидации подмен префиксов и слабая проверка соответствия namespace и домена создают удобную точку входа для опытных злоумышленников. Maven Central и вся экосистема Java-зависимостей должны оперативно внедрять многоуровневые защитные механизмы — иначе риски компрометации приложений и инфраструктуры будут только расти.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Typosquatting-атака на Maven Central: подмена библиотеки Jackson".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.