开始您的搜索!

栏目站长笔记

   发布时间2024-8-6 10:24

   浏览人数1199浏览

   转载自微信公众号微信公众号原文作者作者 程序员牛肉 ← 查找 / 关注作者公众号

注明:本文摘自微信公众号:程序员牛肉,版权归微信公众号:程序员牛肉所有,请通过微信搜索公众号程序员牛肉,查看作者更多精彩内容。
在今年的五月份,国内开源自建CDN平台GoEdge的主要作者超哥在QQ交流群发布了1.3.9的版本之后,就失去了联系并且解散了QQ交流群。出售商业版GoEdge的淘宝店也被关闭。

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

经过几天的沉寂,GoEdge的官方TG群组宣布回归:

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

之后大量的开发者发现官方发布的GoEdege V1.4.0版本添加了恶意的JS代码,会导致使用该CDN部署的网站被跳转到博彩电诈平台,与前段时间的类似投毒事件情况比较类似

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

有大佬指出该CDN会往使用了该CDN的前端网站中植入一段恶意JS包:
https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
从境内直接访问,这是一个加密的JS乱码包:

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

但很快就有大佬对该JS包进行了解密,发现了一段代码:

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

不仅如此,人家还贴心的给你写了一段分地区,分设备,分时间,分概率跳转的逻辑代码:

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

大量使用GoEdge的开发者开始涌入官方群组,质问客服关于这段恶意代码的情况。
但GoEdge的客服在电报群中表示“不传谣不信谣”后开始踢人,随后对v1.4.0的版本进行了重新的编译,发布了无毒版的GoEdge v1.4.1。
可信任一旦崩塌,就很难重新建立。
随着越来越多的开发者关注这件事,更多的细节被爆了出来:
大家对GoEdge无毒的最后一个版本V1.3.9的编译版本和有毒的第一个版本V1.4.0的编译版本进行了比较。

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

发现两个版本竟然连编译器都换了。这真的是一个团队写的项目吗?并且有人对两个版本的项目进行了检查,发现代码风格明显不同。

又一个自建CDN工具GoEdge出现官方投毒事件!快看看你有没有使用它

随后大家便发现GoEdge的主域名已经被更改,Whois记录发生变化。大家都在猜测GoEdge是否已经被出售。
在这里我建议大家尽快对自己的网站进行自查,如果使用了夹带私货的Goedge版本,记得尽快对版本进行回退,删除恶意JS代码。
事情到此便落下帷幕,接下来是我想说的:
截止到现在,已经出现了多起CDN投毒事件,这种来自供应链的投毒总是让我们猝不及防。
在查询这件事相关的资料时,我发现不止有我一个人关注到了这件事,有的开发者对这件事甚至挖的更深。将这件事与BootCDN投毒的事件串联起来,找到了一些蛛丝马迹。但他本人也受到了威胁邮件,相关的论坛也直接被打挂了一段时间。
因此我不愿意在这里过多过深的谈论这件事情,感兴趣的朋友可以自行搜索相关资料。
最后我想说:我们无法对这类开源项目的作者要求太多。更没必要从道德的角度苛责这些开源作者为什么要进行投毒事件。
我们更应该把视角放到开源项目的发展问题上,如何建立更加健康,可持久运行的开源项目运营体系。国内的开源环境之所以烂,有一部分原因就是部分开源开发者只管生不管养。
#CDN工具#GoEdge#投毒事件
版权声明:文章内容摘自于微信公众号:程序员牛肉,版权归微信公众号:程序员牛肉所有,本站仅出于分享(非商业盈利)目的转载,该文章仅代表作者本人观点,不代表本站观点!如转载侵犯了您的权益,请来信告知:ishiqingwu@qq.com,我们在收到来信的第一时间处理。
返回顶部