V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CHS
V2EX  ›  分享发现

供应链投毒后,我们的选择还剩下哪些?

  CHS · 140 天前 · 33282 次点击
这是一个创建于 140 天前的主题,其中的信息可能已经有所发展或是发生改变。

前言

从早前的 LNMP 、OneinStack 到 XZ Utils ,再到现在的 Staticfile 、BootCDN ;供应链攻击总是让人猝不及防。纵观这些被攻击的项目,往往都是无处不在,经常被大家所使用,但是却并没有给提供者带来什么收入。 在突然有一天,提供者感到疲惫不堪,却又迫于用户们的压力无法关停服务的情况下,突然有新的组织/个人来帮助一起进行开发或提供服务,甚至是直接的现金收购/服务赞助;在这种情况下,接受帮助自然是首选的方案。 我认为建立有效的捐助途径不失为缓解这一问题的良方,正如 AlmaLinux 、RockyLinux 或是 cdnjs 、jsdelivr 一样,这些服务背后都有着可靠的企业长期提供捐助承诺,也帮助项目不断成长和有效地提供服务。

序幕

和 WDCP 、LNMP 、OneinStack 一样,这次的 Staticfile 、BootCDN 、Polyfill 事件也是背后指向同一个组织[[1]]。更进一步的研究表明这些组织似乎会恶意攻击其他提供类似服务的供应商,同时采取接触洽谈来并入攻击目标。 在这种做法下,曾经由七牛云提供服务的Staticfile.org被易手,而原先由个人提供服务、由又拍云提供接入服务的BootCSS也同样被易手。 但是这些背后的交易在事件发生前却没有人进行公开,也许是原来的提供者厌倦了日复一日付出却看不到回报的生活,也许是这些组织瞒天过海许下了虚假的承诺,让原本积累了大量用户的基础服务成为了这些组织用来攻击用户们的利刃。

探究

大多数关于这次攻击的报道集中于一个星期之前,然而事件的开始却远早于这个时间。一年以前,V2EX 社区就有用户发文表示 BootCSS 的静态资源被投毒[2]。 通过查阅记录可以发现,BootCSS.com 由王赛于 2012 年底批量注册,建站初期主要提供的是 BootStrap 介绍和交流[3,4,5]。于此同时进行批量注册的还有 golaravel.com 等一系列技术栈的中文网,猜测是想使用站群方式来进行项目文档的本地化,同时积累受众用户。 域名批量注册备案 在 2013 年十一月初,BootStrap 中文网上线了 OpenCDN 加速服务,由又拍云赞助,提供 cdnjs 的国内镜像[6]。 静态资源加速服务上线 又拍云提供赞助 也许是由于用户的增长又拍云难以承担高额的成本,又或者是又拍觉得收益无法 Cover 成本,这段关系一直持续到了 2017 年年底[7]。自此之后的一段时间,提供服务的 CDN 便开始快速变更,从白山云到京东云,最终到了 10 月份由于账单压力或是其他原因出现了大面积的服务中断[8]。 又拍云服务中断 在恢复后,原先的服务开始由猫云提供,自此开始 BootCDN 的服务出现了一些不连续的中断事件[9]。 提供商变更为猫云 2019 年 3 月、10 月、2020 年 1 月陆续出现小规模的中断,尽管如此,但是在接下来的几年时间中,猫云一直为 BootCDN 提供加速服务,只是加速域名从cdn.bootcss.com更换为了cdn.bootcdn.net;而于此同时百度静态资源公共库则彻底停止了服务。 百度静态资源公共库停止服务 时间来到 2022 年,在 1 月份经历了中断后,2 月份猫云或许是基于和又拍云同样的原因停止了赞助,服务商也从此开始变更为了极兔云[10]。 服务商变更为极兔云 或许是由于极兔云本身是融合 CDN 服务,与上一家同样类型的赞助商服务相冲突的原因,BootCDN 发布公告表示将下线cdn.bootcss.com域名。 BootCDN 公告 在此期间,jsDelivr 的备案被关停、解析被污染,从此基本断绝了在中国大陆的使用。

梦醒

2023 年 4 月份,BootCDN 的三个关联域名[bootcdn.net,bootcdn.cn,bootcss.com]ICP 备案变更为郑州紫田网络科技有限公司,同时域名注册商也从阿里云转入腾讯云,由此揭幕了噩梦的来临[11]。 备案及注册商变更 2023 年 6 月份,开始有用户陆续发现部分静态资源内存在投毒行为[12]。 用户开始发现投毒行为 即便到现在,投毒行为仍在继续,大量用户反馈存在资源被投毒[13]。 持续的投毒行为 自此 BootCDN 这个拥有十多年历史的国内静态资源加速服务彻底沦为了攻击者的工具,恶意代码随意被嵌入无数正在使用的网站中。而由于 BootCDN 历史久远,以至于许多生产环境甚至都不知道他们曾经引入了该服务。而这样的攻击相信还会继续持续下去,直到大家渐渐意识到...又或是仍旧...

巧合

无独有偶,原本由七牛云提供服务的 Staticfile CDN 于 2023 年 10 月进行了备案信息变更和注册局转移[14]。 Staticfile 备案变更 Staticfile 域名转移 两个关联域名staticfile.orgstaticfile.net被转入河南泉磐网络科技有限公司。 而先前 BootCDN 所转入的公司名称为郑州紫田网络科技有限公司,两者同为河南省郑州市的相同类型公司。而先前Ze-Zheng Wu所发现的几个域名由统一组织控制高度符合[15]。 通过天眼查查询可知紫田科技旗下知名的一个产品为51.La站点统计平台。 紫田科技旗下产品 通过 Bing 搜索不难发现在 2023 年集中出现大量使用该统计平台遇到劫持的案例。 51.La 劫持 通过天眼查对紫田科技股东徐征进行查询,发现其曾担任郑州帝恩爱斯网络科技有限公司法定代表人及高管,也曾担任河南云打包网络科技有限公司高管和股东。 曾任 DNS.La 法人 而 Staticfile 域名持有公司河南图网信息技术有限公司的法人申石磊同时任职郑州帝恩爱斯网络科技有限公司法定代表人。 申石磊实际控制企业 而 Staticfile 的域名注册商商中在线也与紫田科技关联的公司存在着说不清道不明的关系。 自此可以确定这两个原本由不同云厂商所赞助的静态资源加速服务已经被同一组织所控制,与上述Ze-Zheng Wu的调查一致。 看似似乎这只是一个名不见经传的小公司所为,然而这只不过是挡在云层前的迷雾。 通过查阅可以发现郑州紫田网络科技有限公司总经理李跃磊同时担任河南亿恩科技股份有限公司股东。

李跃磊任职信息 通过天眼查透视链可以查看到企业彼此之间的关联信息。 故事到这里似乎就结束了,然而还有收购 polyfill 服务的那家公司Funnull需要进行调查。通过查询域名注册和备案信息可以发现背后的公司为南京妙彩文化传播有限公司 这家公司的主营业务则是为博彩网站提供国内优化 CDN 服务,与上述的劫持行为不谋而合。

答案

这就像一张巨大的关系网,串联起了利益链中的彼此。每一家公司都看似运营者合规可靠的服务,背后进行的确实见不得人的勾当。

郑州紫田网络科技有限公司
商中在线科技股份有限公司
河南亿恩科技股份有限公司
南京妙彩文化传播有限公司
河南图网信息技术有限公司
河南云打包网络科技有限公司
北京新网互联软件服务有限公司
郑州帝恩爱斯网络科技有限公司

镇痛

从来没有什么疼痛能够有效缓解,更何况是这种绝症。 目前最为可靠的同类服务为字节跳动静态资源公共库 你可以将以下地址进行修改

cdn.bootcss.com
cdn.bootcdn.net/ajax/libs
cdn.staticfile.net
cdn.staticfile.org

替换为

//阿里云
lf3-cdn-tos.bytecdntp.com/cdn/expire-1-M
//金山云
lf6-cdn-tos.bytecdntp.com/cdn/expire-1-M
//白山云
lf9-cdn-tos.bytecdntp.com/cdn/expire-1-M
//华为云
lf26-cdn-tos.bytecdntp.com/cdn/expire-1-M

或者你可以尝试其他的提供商

//360 奇舞团
https://lib.baomitu.com/
//zstatic.net 又拍云赞助
s4.zstatic.net/ajax/libs
//7ED
use.sevencdn.com/ajax/libs
//Web 缓存网
cdnjs.webstatic.cn/ajax/libs
//晓白云
sf.akass.cn
//泽瑶网络 jsDelivr 镜像
cdn.jsdmirror.com

[1]https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/ [2]https://www.v2ex.com/t/950163 [3]https://web.archive.org/web/20121206014141/http://www.bootcss.com/ [4]https://ip.sb/whois/bootcss.com [5]https://www.icpapi.com/%E4%BA%ACICP%E5%A4%8711008151%E5%8F%B7/ [6]https://web.archive.org/web/20131103022433/http://open.bootcss.com/ [7]https://web.archive.org/web/20171230183848/http://www.bootcdn.cn/ [8]https://global.v2ex.com/t/494375 [9]https://web.archive.org/web/20190119210705/https://www.bootcdn.cn/ [10]https://web.archive.org/web/20220208201547/https://www.bootcdn.cn/ [11]https://whoisfreaks.com/tools/whois/history/lookup/bootcss.com [12]https://www.v2ex.com/t/950163 [13]https://github.com/Tencent/vConsole/issues/683 [14]https://www.icpapi.com/staticfile.net/ [15]https://x.com/mdmck10/status/1806349965733544160

150 条回复    2024-07-30 10:54:24 +08:00
1  2  
Vindroid
    1
Vindroid  
   140 天前
我还以为你在说那件事
WildCat
    2
WildCat  
   140 天前   ❤️ 3
我以为是食用油。。。
yolee599
    3
yolee599  
   140 天前 via Android   ❤️ 1
我还以为你是在说油罐车。就这个不可避免,多关注社区动态,保持软件包更新,不使用冷门的不维护的软件包
zglw2012
    4
zglw2012  
   140 天前
我也以为是食用油。。。
hccsoul326
    5
hccsoul326  
   140 天前
天下攘攘,皆为利往.
pursuit9
    6
pursuit9  
   140 天前
我也以为是食用油
shew5689
    7
shew5689  
   140 天前   ❤️ 16
国内互联网生态和食用油也差不多~
coolfan
    8
coolfan  
   140 天前
花钱养人
monkeyWie
    9
monkeyWie  
   140 天前   ❤️ 1
毕竟郑姆斯特丹
frankkly
    10
frankkly  
   140 天前
我以为你说的油
linyongxin
    11
linyongxin  
   140 天前   ❤️ 1
以前有个很有名的站长阿江,51.la 卖了很多年,关于 51 统计弹菠菜广告的传闻这么多年也没人管
8Ly9vkUc
    12
8Ly9vkUc  
   140 天前
我以为是食用油...
phpcxy
    13
phpcxy  
   140 天前
第一反应也是油罐车。
感谢楼主的文章
SomeBodsy
    14
SomeBodsy  
   140 天前
居然不是食用油
woniuge
    15
woniuge  
   140 天前
@linyongxin #11
@ajiangnet 阿江
archxm
    16
archxm  
   140 天前 via Android
如果你在荒岛,没吃的,只有牛粪,管饱。
你会感叹吗,供应链太脏啦,不吃不吃
0o0O0o0O0o
    17
0o0O0o0O0o  
   140 天前 via iPhone
polyfill 的结果似乎是动态的,SRI 也无效,在没有任何浏览器提供的安全保障之前,我认为应该彻底避免使用它,而不是往下一个迟早会作恶或被作恶的服务逃难。至于真正的静态资源 CDN ,SRI 不够吗?
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
BlueSkyXN
    18
BlueSkyXN  
   140 天前   ❤️ 5
这时候就不得不提天眼查、ICP 备案和域名实名制了
不然很难跟踪这些违法的黑产组织
totoro625
    19
totoro625  
   140 天前   ❤️ 1
自建缓存吧,自建反代,等等,比如 docker 、apt ,这个世界除了自己,没有什么值得信任的
ashong
    20
ashong  
   140 天前
润!
hzcer
    21
hzcer  
   140 天前
从多个镜像同时 fetch JS 文件,并设置 SRI ,通过 JS 的方式做故障转换。
spueruser
    22
spueruser  
   140 天前
看半天原来不是油啊
bojackhorseman
    23
bojackhorseman  
   140 天前   ❤️ 2
the one and only way: run
robinchina
    24
robinchina  
   140 天前
放自己服务器吧,js 文件也没多大
xavierskip
    25
xavierskip  
   140 天前   ❤️ 2
不是,这也水深火热。不懂。是自动触发敏感词吗?
jackmod
    26
jackmod  
   140 天前   ❤️ 1
云时代大断网,没有流通的云就会变质。
只能像以前那样,所有资源从外网下载下来,再由自己提供,别依赖三方 CDN 了。
insignificance
    27
insignificance  
   140 天前
😅能否用更加简明的话语表述一下,这文字看起来像 AI 生成的。
0o0O0o0O0o
    28
0o0O0o0O0o  
   140 天前 via iPhone   ❤️ 51
Stoney
    29
Stoney  
   139 天前 via iPhone
我也以为是油罐车
phithon
    30
phithon  
   135 天前
字节跳动 CDN 感觉好久没更新了,bootstrap 版本只到 5.1
CHS
    31
CHS  
OP
   134 天前
@phithon 确实如此,他们的最后一次同步应该是在 22 年年中,你可以尝试使用我提供的 https://cdnjs.snrat.com/ 或是 https://www.zstatic.net/ 同步的资源比较新
malagebidi
    32
malagebidi  
   134 天前
我记得多年前,是 bootcss 第二次中断的时候我就撤走了,然后就没再使用 cdn 加速。
Pastsong
    33
Pastsong  
   134 天前   ❤️ 2
非常有意义和价值的文章,很可惜 v 站标记水深火热后会影响搜索引擎收录
dooonabe
    34
dooonabe  
   134 天前
支持支持👍
GeruzoniAnsasu
    35
GeruzoniAnsasu  
   134 天前   ❤️ 13
供应链投毒是个很严重的信息安全问题,这篇文章内容详实有理有据,评论区也并没有吵起来或彻底歪向另一个方向,建议重新移动回如 /go/security 这样的节点 @livid
hackyuan
    36
hackyuan  
   134 天前   ❤️ 1
有价值的文章,可惜水深火热了
MiracleShadow
    37
MiracleShadow  
   134 天前   ❤️ 1
drymonfidelia
    38
drymonfidelia  
   134 天前   ❤️ 1
@GeruzoniAnsasu 这篇文章评论区前 15 楼基本都在回复食用油,已经无法讨论下去了
cat
    39
cat  
   134 天前   ❤️ 1
@drymonfidelia 那把故意歪楼(抖机灵)的楼层 甚至回复人 ban 了,也比一刀切让这么好的贴子进水深火热好
Configuration
    40
Configuration  
   134 天前
@drymonfidelia
@cat
@GeruzoniAnsasu

好嘛,以后骗子被曝光后,专门来歪楼就可以了,V2 这规则真够孬的
zficode
    41
zficode  
   134 天前 via Android
支持
hellodigua
    42
hellodigua  
   134 天前
这么好的文章是怎么进水深火热的,分析的很深刻啊👍
yuzo555
    43
yuzo555  
   134 天前
“而 Staticfile 的域名注册商商中在线也与紫田科技关联的公司存在着说不清道不明的关系。”
这个纯属天眼查这种软件的一通乱推了,你自己看图里有多少赫赫有名的证券公司/上市公司甚至天津国资委、港股通的公司都来了。
ma836323493
    44
ma836323493  
   134 天前
有价值的文章,可惜水深火热了
ssh
    45
ssh  
   134 天前
这种可以算上互联网界的黑恶势力了吧,先恶意投毒,然后上门联系收购。
Aruforce
    46
Aruforce  
   134 天前 via Android
@Livid 这种帖子不应该 水深火热
harryge
    47
harryge  
   134 天前
能报警,起诉吗
imhx233
    48
imhx233  
   134 天前
字节公共库都一万年不更新了: https://cdn.bytedance.com/?query=jquery
别推荐用国内的公共资源库了,老老实实自己打包吧
imhx233
    49
imhx233  
   134 天前   ❤️ 1
出了这么多事还搁着推荐别的。。真的是。。
kinghly
    50
kinghly  
   133 天前 via Android
感谢曝光
viewer003
    51
viewer003  
   133 天前
牛逼
J0N
    52
J0N  
   133 天前
感谢曝光,已点推荐,希望热门让更多同行看到避坑。
lingaoyi
    53
lingaoyi  
   133 天前 via iPhone
牛逼啊….
naoying
    54
naoying  
   133 天前
huoqianliuming
ssh
    55
ssh  
   133 天前
@ma836323493
@Aruforce 已经被从水深火热救回来了,v 友们威武,v 站硬气!
xzaf
    56
xzaf  
   133 天前
lz 牛逼!赞👍
Abbeyok
    57
Abbeyok  
   133 天前
狠狠曝光这些无良的公司
xlost
    58
xlost  
   133 天前
干就完事了
john004
    59
john004  
   133 天前 via iPhone
支持 op
RoccoShi
    60
RoccoShi  
   133 天前
👍
z5e56
    61
z5e56  
   133 天前 via Android
@0o0O0o0O0o 看一下水深火热里面的贴子 有些争议不大甚至回复没两条都进去了。只能说是常规操作了。虽然现在这个贴子又移回来了
Livid
    62
Livid  
MOD
   133 天前   ❤️ 8
@0o0O0o0O0o
@GeruzoniAnsasu
@Aruforce

V2EX 目前还有几位有移动权限的,这个帖子从被移动进 /go/flamewar 再到被移动出来,都不是我操作的。
jasonkayzk
    63
jasonkayzk  
   133 天前
感谢曝光
forQ
    64
forQ  
   133 天前
原来如此
henix
    65
henix  
   133 天前
可以从多个角度思考:

* 宏观角度:一些有正外部性的东西,可能最好是政府 / 国企来牵头,普通组织很难负担这种成本
* 个体角度:免费的可能是最贵的
icaolei
    66
icaolei  
   133 天前   ❤️ 1
可不可以去告他们涉嫌「非法侵入计算机信息系统罪」啊?

把他们全给抓喽!
lovedebug
    67
lovedebug  
   133 天前
图片都挂了吗?
CHS
    68
CHS  
OP
   133 天前   ❤️ 1
@lovedebug 勉强恢复了下,不行可以 Archive.org
lovedebug
    69
lovedebug  
   133 天前
@CHS #67 辛苦博主了,已经看到了。建议找人投稿给 b 站安全博主
asuraa
    70
asuraa  
   133 天前
感谢曝光
enchilada2020
    71
enchilada2020  
   133 天前 via Android
牛逼 差点错过好帖子
yvkino
    72
yvkino  
   133 天前
厉害啊
ivvei
    73
ivvei  
   133 天前 via Android
菠菜广告,为什么不直接报警啊
92DISPfZMyn9IZaw
    74
92DISPfZMyn9IZaw  
   133 天前
硬刚到底!
Chad0000
    75
Chad0000  
   133 天前 via iPhone
上来支持一下 OP !
lleohao
    76
lleohao  
   133 天前 via iPhone
csp 加起来
onlyu
    77
onlyu  
   133 天前   ❤️ 2
河南人才多
cmdOptionKana
    78
cmdOptionKana  
   133 天前   ❤️ 3
这个帖子竟然被放出来了,V 站牛逼!
ErZhou
    79
ErZhou  
   133 天前
我也以为是食用油。。。
lifeintools
    80
lifeintools  
   133 天前   ❤️ 2
还是河南人才多
xmlf
    81
xmlf  
   133 天前 via Android
支持楼主,感谢您做了这么多努力,很有意义
lifeintools
    82
lifeintools  
   133 天前
感谢楼主,已经切换了
BeforeTooLate
    83
BeforeTooLate  
   133 天前   ❤️ 3
@drymonfidelia >这篇文章评论区前 15 楼基本都在回复食用油,已经无法讨论下去了
直接水深火热,有多少人会直接看不到质量这么高的主题了?
有些操作,我估计 OP 懵逼,其他人也同样一脸疑惑。
gdrk
    84
gdrk  
   133 天前
之前只是一直觉得好多 CDN 不稳定,后来基本都是锁版本打包了,没想到后面还有这么多的利益关系,感谢楼主~
s4d
    85
s4d  
   133 天前
这种国安不上吗?
shuxhan
    86
shuxhan  
   133 天前
这种精华帖应该让更多人看到
Xinu
    87
Xinu  
   133 天前
感谢楼主,支持楼主!!
superrichman
    88
superrichman  
   133 天前
好耶,从水深火热里移出来了。
daohanghao
    89
daohanghao  
   133 天前
天下没有免费的午餐

基本不用外部的,虽然访问速度慢一点,但稳妥些
JL1990
    90
JL1990  
   133 天前
支持 op, 有种战地记者的感觉
chirping
    91
chirping  
   133 天前
感谢
stormwindcity
    92
stormwindcity  
   133 天前
支持,bootcdn 已经全换掉了
laobobo
    93
laobobo  
   133 天前
默默的表示支持
yxhzhang185
    94
yxhzhang185  
   133 天前   ❤️ 1
PCDN 可以来波黑吃黑
YJi
    95
YJi  
   133 天前
从水深火热出来啦!!
duanxianze
    96
duanxianze  
   133 天前   ❤️ 1
很早之前有次吃过大亏,jsdelivr 突然无法访问,自那以后再也不用免费的三方 cdn 了
madku
    97
madku  
   133 天前
支持
NightFlame
    98
NightFlame  
   133 天前
没用 CDN ,有省流哥总结一下吗
zhng920823
    99
zhng920823  
   133 天前
@Livid #62 无有可能, 那几位也被投毒了?
inhzus
    100
inhzus  
   133 天前
支持楼主!
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3388 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 11:39 · PVG 19:39 · LAX 03:39 · JFK 06:39
Developed with CodeLauncher
♥ Do have faith in what you're doing.