Привет всем, я программист.

В мае этого года Чао Гэ, главный автор GoEdge, внутренней CDN-платформы с открытым исходным кодом, потерял контакт и распустил группу обмена QQ после выпуска версии 1.3.9. Магазин Taobao, продававший коммерческую версию GoEdge, также был закрыт.

После нескольких дней молчания официальная группа TG GoEdge объявила о своем возвращении:

Позже большое количество разработчиков обнаружили, что в официально выпущенную версию GoEdege V1.4.0 был добавлен вредоносный JS-код, который приводил к перенаправлению веб-сайтов, развернутых с использованием CDN, на платформы электронного мошенничества с азартными играми, что было похоже на аналогичные инциденты с отравлением некоторое время назад. .

Кто-то отметил, что этот CDN внедрит вредоносный JS-пакет на внешний веб-сайт, который использует этот CDN:

https://cdn.jsdelivr.vip/jquery.min-3.7.0.js

Это зашифрованный искаженный пакет JS, доступный напрямую внутри страны:

Но вскоре кто-то расшифровал JS-пакет и нашел кусок кода:

Мало того, они еще и вдумчиво написали вам кусок логического кода, который скачет по региону, устройству, времени и вероятности:

Большое количество разработчиков, использующих GoEdge, начали приходить в официальную группу, чтобы задать вопросы службе поддержки клиентов по поводу этого вредоносного кода.

Однако служба поддержки GoEdge начала пинать людей после того, как в группе Telegram заявила, что «они не распространяют слухи и не верят им». Затем перекомпилировали версию v1.4.0 и выпустили нетоксичную версию GoEdge v1.4.1. .

Если доверие подорвано, его трудно восстановить.

Поскольку все больше и больше разработчиков обращают внимание на этот вопрос, раскрывается все больше подробностей:

Мы сравнили скомпилированную версию последней нетоксичной версии GoEdge V1.3.9 с скомпилированной версией первой токсичной версии V1.4.0.

Я обнаружил, что в этих двух версиях даже изменился компилятор. Это действительно командный проект? И кто-то проверил две версии проекта и обнаружил, что стиль кодирования явно разный.

Позже все обнаружили, что основное доменное имя GoEdge было изменено, а также изменилась запись Whois. Все гадают, продан ли GoEdge.

Здесь я предлагаю вам как можно скорее провести самопроверку вашего сайта. Если вы используете версию Goedge, содержащую частные товары, не забудьте как можно скорее откатить версию и удалить вредоносный JS-код.

На этом дело подошло к концу, и вот что я хочу сказать:

До сих пор было много случаев отравления CDN, и такого рода отравления в цепочке поставок всегда застают нас врасплох.

При поиске информации, связанной с этим вопросом, я обнаружил, что я не единственный, кто обращает внимание на этот вопрос, а некоторые разработчики даже углубились в этот вопрос. Объединив этот инцидент с инцидентом отравления BootCDN, мы нашли некоторые подсказки. Но он сам также получал электронные письма с угрозами, а соответствующие форумы были заблокированы на некоторое время.

Поэтому я не хочу здесь слишком глубоко говорить об этом вопросе. Заинтересованные друзья могут самостоятельно поискать соответствующую информацию.

В заключение я хочу сказать: мы не можем требовать слишком многого от авторов таких проектов с открытым исходным кодом. Нет необходимости критиковать этих авторов открытых источников с моральной точки зрения относительно того, почему они совершают инциденты с отравлениями.

Нам следует больше сосредоточиться на развитии проектов с открытым исходным кодом и на том, как создать более здоровую и устойчивую систему работы проектов с открытым исходным кодом. Частично причина того, почему отечественная среда с открытым исходным кодом настолько плоха, заключается в том, что некоторые разработчики с открытым исходным кодом заботятся только о зарабатывании денег, а не о сборе денег.