報道によると、偽のJackson JSON MavenパッケージがGitHubレジストリに流出したとのことです。
このマルウェアは、Javaの逆ドメイン名前空間規則におけるプレフィックススワップ(prefix swap)と同じ手法を用いて、開発者を欺き、悪意のあるパッケージをダウンロードさせます。
また、悪意のあるコードをホストするGitHubリポジトリを攻撃し、自動的に実行します。
注目すべきは、この攻撃が2025年9月に、同様のプレフィックススワップを用いたnpmライブラリとして初めて報告されたことです。
コメント