Na última semana, a equipe da Akido identificou um ataque inédito e sofisticado no ecossistema Java: um pacote malicioso publicado no Maven Central, disfarçado como uma extensão legítima da popular biblioteca Jackson JSON.
O pacote, chamado org.fasterxml.jackson.core/jackson-databind, imitava o namespace da biblioteca original (com.fasterxml.jackson.core) — uma técnica conhecida como typosquatting. Essa prática explora pequenas variações em nomes confiáveis para enganar usuários e desenvolvedores. No caso, a simples troca de com por org foi suficiente para parecer legítimo a olhos desatentos.
- Namespace falso:
org.fasterxml.jackson.core(o legítimo écom.fasterxml.jackson.core) - Domínio falso:
fasterxml.org(o legítimo éfasterxml.com)
O domínio
O domínio fasterxml.org, criado para imitar outro legítimo, foi registrado em 17 de dezembro de 2025, apenas oito dias antes da descoberta pela Aikido. Os dados de WHOIS indicam que o registro foi feito por meio da GoDaddy e sofreu atualização em 22 de dezembro, o que aponta para a preparação ativa da infraestrutura maliciosa nos dias que antecederam sua utilização.
Esse intervalo curto entre o registro do domínio e seu uso efetivo é típico de campanhas de malware: os atacantes montam a infraestrutura pouco antes da operação para reduzir as chances de detecção e de inclusão em listas de bloqueio. Como a biblioteca legítima Jackson utiliza o domínio fasterxml.com há mais de dez anos, a variação com .org se torna uma forma simples e eficaz de se passar por ela, com alto potencial de retorno para os criminosos.
Por que isso importa?
Ao adicionar essa dependência ao pom.xml, o desenvolvedor acreditava estar usando um recurso seguro. Na realidade, estava abrindo a porta para um Trojan Downloader capaz de:
- Contatar um servidor de comando e controle (C2).
- Baixar e executar payloads específicos para Windows, macOS e Linux.
- Estabelecer persistência no sistema.
Os binários maliciosos foram identificados como Cobalt Strike beacons, ferramenta comumente usada por grupos avançados para controle remoto, movimentação lateral e ataques direcionados.
O perigo do Typosquatting
Esse ataque é um típico exemplo de como pequenas diferenças podem causar grandes problemas. Assim como ocorre com domínios falsos (fasterxml.org vs fasterxml.com), a troca de prefixos em namespaces Java é uma vulnerabilidade pouco explorada — até agora.
Como se proteger?
- Verifique cuidadosamente namespaces e domínios antes de adicionar dependências.
- Utilize ferramentas de análise de segurança para detectar pacotes suspeitos.
- Pressione por medidas preventivas nos repositórios, como detecção de similaridade e verificação extra para namespaces populares.
O ecossistema Java sempre foi considerado seguro contra ataques de cadeia de suprimentos, mas este incidente é um alerta.
Quer saber se sua marca já está sendo usada em domínios suspeitos?
Soluções como o Observster permitem identificar, de forma rápida, registros potencialmente fraudulentos antes que evoluam para golpes ou prejuízos concretos. O primeiro passo para proteger sua marca começa pela observação.
