Ein neuer Software Supply-Chain-Angriff namens MavenGate wurde entdeckt, der mehrere öffentliche und beliebte Bibliotheken betrifft, die in Java- und Android-Anwendungen verwendet werden. Diese Schwachstellen ermöglichen es Angreifern, böswilligen Code einzuschleusen und den Build-Prozess zu kompromittieren. Betroffen sind alle Maven-basierten Technologien, einschließlich Gradle. Das mobile Sicherheitsunternehmen Oversecured hat Berichte über die Sicherheitslücke an über 200 Unternehmen gesendet, darunter Google, Facebook, Signal und Amazon. Apache Maven wird hauptsächlich zum Erstellen und Verwalten von Java-Projekten verwendet. Durch den Kauf eines abgelaufenen Domainnamens, der dem Eigentümer der Abhängigkeit gehört, können Angreifer Zugriff auf das Projekt erhalten. Das Unternehmen Oversecured hat den Angriff selbst getestet, indem es eine eigene Test-Android-Bibliothek hochgeladen hat. Von den insgesamt 33.938 analysierten Domains waren 6.170 (18,18%) anfällig für MavenGate. Sonatype, das Maven Central besitzt, hat Maßnahmen ergriffen, um das Risiko zu minimieren. Die Sicherheitslücke wird jedoch als die Verantwortung der Endentwickler angesehen, um ihre direkten und transitiven Abhängigkeiten zu überprüfen.