資安業者Aikido Security研究人員在Java生態常用的公開套件儲存庫Maven Central,發現一個仿冒Jackson的惡意套件,其唯一識別字串為org.fasterxml.jackson.core:jackson-databind,字串刻意貼近開發者熟悉的Jackson相依套件,藉此誘騙下載惡意元件。研究人員已將相關網域通報給GoDaddy並向Maven Central回報,該套件也約在1.5小時內下架。
正牌Jackson常見發布命名空間為com.fasterxml.jackson.core,攻擊者則改用僅一字之差的org.fasterxml.jackson.core,利用com與org前綴互換混淆視聽。研究團隊也觀察到攻擊基礎設施採用相同手法,以fasterxml.org對照正牌fasterxml.com,降低開發者在倉促檢視時察覺異常的機率。
冒牌Jackson為具多階段投放特徵的下載器,其程式碼經混淆處理,並包含用來干擾自動化分析的設計。當專案採用Java應用程式開發框架Spring Boot時,惡意套件會偽裝成框架常見的自動設定元件,利用啟動時的掃描與載入流程,在應用程式啟動後自動觸發執行,開發者不需要在程式碼中主動呼叫即可被帶入執行路徑。
一旦觸發後,惡意程式會連線至攻擊者控制的C2端點下載設定,再依作業系統下載對應的可執行檔並在本機執行,並建立特定檔案作為標記,降低重複執行時被察覺的機會。研究人員在分析中強調,攻擊者刻意提供跨平臺投放能力,並以多層混淆與加密字串增加逆向成本。
研究人員將其取得Linux與macOS的樣本後提交至VirusTotal,多數偵測引擎將其辨識為Cobalt Strike的Beacon程式。Cobalt Strike原本是商用滲透測試工具,常被攻擊者挪作遠端控制與後續滲透的工具,研究人員提醒,這類惡意載荷如果被辨識為Cobalt Strike Beacon,往往意味著攻擊者具備遠端控制與後續滲透的能力,攻擊目的也可能不只停留在一次性行為。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31