HTML网站资源下载器
1247人气数
Aibi Photo AI照片增强器v1.34.0破解版
1331人气数
Photo Editor照片编辑器v9.7.1破解版
1293人气数
自由门VPN加速器
1719人气数
Telegram 电报TG 即时通讯软件
1335人气数
Little Rocket VPN 3.0 小火箭加速器3.0
1446人气数
在今年的五月份,国内开源自建CDN平台GoEdge的主要作者超哥在QQ交流群发布了1.3.9的版本之后,就失去了联系并且解散了QQ交流群。出售商业版GoEdge的淘宝店也被关闭。 经过几天的沉寂,GoEdge的官方TG群组宣布回归: 之后大量的开发者发现官方发布的GoEdege V1.4.0版本添加了恶意的JS代码,会导致使用该CDN部署的网站被跳转到博彩电诈平台,与前段时间的类似投毒事件情况比较类似 有大佬指出该CDN会往使用了该CDN的前端网站中植入一段恶意JS包: https://cdn.jsdelivr.vip/jquery.min-3.7.0.js 从境内直接访问,这是一个加密的JS乱码包: 但很快就有大佬对该JS包进行了解密,发现了一段代码: 不仅如此,人家还贴心的给你写了一段分地区,分设备,分时间,分概率跳转的逻辑代码: 大量使用GoEdge的开发者开始涌入官方群组,质问客服关于这段恶意代码的情况。 但GoEdge的客服在电报群中表示“不传谣不信谣”后开始踢人,随后对v1.4.0的版本进行了重新的编译,发布了无毒版的GoEdge v1.4.1。 可信任一旦崩塌,就很难重新建立。 随着越来越多的开发者关注这件事,更多的细节被爆了出来: 大家对GoEdge无毒的最后一个版本V1.3.9的编译版本和有毒的第一个版本V1.4.0的编译版本进行了比较。 发现两个版本竟然连编译器都换了。这真的是一个团队写的项目吗?并且有人对两个版本的项目进行了检查,发现代码风格明显不同。 随后大家便发现GoEdge的主域名已经被更改,Whois记录发生变化。大家都在猜测GoEdge是否已经被出售。 在这里我建议大家尽快对自己的网站进行自查,如果使用了夹带私货的Goedge版本,记得尽快对版本进行回退,删除恶意JS代码。 事情到此便落下帷幕,接下来是我想说的: 截止到现在,已经出现了多起CDN投毒事件,这种来自供应链的投毒总是让我们猝不及防。 在查询这件事相关的资料时,我发现不止有我一个人关注到了这件事,有的开发者对这件事甚至挖的更深。将这件事与BootCDN投毒的事件串联起来,找到了一些蛛丝马迹。但他本人也受到了威胁邮件,相关的论坛也直接被打挂了一段时间。 因此我不愿意在这里过多过深的谈论这件事情,感兴趣的朋友可以自行搜索相关资料。 最后我想说:我们无法对这类开源项目的作者要求太多。更没必要从道德的角度苛责这些开源作者为什么要进行投毒事件。 我们更应该把视角放到开源项目的发展问题上,如何建立更加健康,可持久运行的开源项目运营体系。国内的开源环境之所以烂,有一部分原因就是部分开源开发者只管生不管养。 |