Analistas identificaram um pacote malicioso publicado no repositório Maven Central que imitava a biblioteca Jackson para Java por meio de typosquatting de namespace (org.fasterxml.jackson.core em vez de com.fasterxml.jackson.core). A descoberta expõe riscos persistentes na cadeia de suprimentos de software.
Descoberta e escopo
Aikido pesquisou o artefato e reportou o pacote ao Maven Central, que removeu a publicação em cerca de 1,5 hora. O domínio fraudulento fasterxml[.]org, usado para suportar a operação, foi registrado em 17 de dezembro de 2025 — apenas oito dias antes da detecção — padrão típico de campanhas que reduzem janela para bloqueio.
Mecanismo de infecção
O pacote era projetado para ativar automaticamente em aplicações Spring Boot: ao ser adicionada como dependência, a classe JacksonSpringAutoConfiguration era detectada pelo scanner do framework e executava rotinas maliciosas no momento do bootstrap. A cadeia de execução verifica ApplicationRunner.class para garantir execução em ambientes Spring Boot.
Payloads e C2
O jar incluía código ofuscado que, após deobfuscação pela equipe de pesquisa, revelou um trojan downloader que consulta um arquivo de configuração AES‑ECB hospedado em http[:]//m[.]fasterxml[.]org:51211/config.txt. A chave AES hardcoded (9237527890923496) decodifica URLs de payloads por plataforma (formato os|url), baixando binários que foram identificados como beacons Cobalt Strike em Linux e macOS.
Persistência e evasão
- Procura por arquivo .idea.pid para controle de persistência — nome que se mistura a estruturas de projeto IntelliJ e reduz suspeita manual.
- Uso de nomes de arquivo typosquat (svchosts.exe) e supressão de saída (NUL, /dev/null) para evitar detecção visível.
- Camadas de ofuscação que tentam confundir análise estática e ferramentas de ML por meio de ruído e prompt injection.
Impacto e recomendações
Embora a remoção tenha sido rápida, a campanha ilustra risco real: desenvolvedores confundindo namespaces podem introduzir dependências maliciosas em builds, levando a comprometimento de ambientes de CI/CD e aplicações em produção. Recomendam‑se controles:
- Whitelist de artefatos e verificação de assinatura de dependências críticas.
- Análise de SBOM e verificação automatizada de alterações em dependências durante pipelines CI.
- Escaners de dependência com heurísticas para typosquatting e validação de domínios relacionados ao fornecedor.
- Isolamento de ambientes de build e monitoramento de downloads de dependências para detectar baixadas inesperadas.
Conclusão
A ocorrência reforça que repositórios de pacotes são alvos privilegiados e que a disciplina de gestão de dependências e controles no pipeline de desenvolvimento é crítica para reduzir risco de supply‑chain. Times de desenvolvimento e segurança devem aplicar camadas de verificação antes de aceitar novas bibliotecas em projetos.