这是一个创建于 505 天前的主题,其中的信息可能已经有所发展或是发生改变。
前言
从早前的 LNMP 、OneinStack 到 XZ Utils ,再到现在的 Staticfile 、BootCDN ;供应链攻击总是让人猝不及防。纵观这些被攻击的项目,往往都是无处不在,经常被大家所使用,但是却并没有给提供者带来什么收入。 在突然有一天,提供者感到疲惫不堪,却又迫于用户们的压力无法关停服务的情况下,突然有新的组织/个人来帮助一起进行开发或提供服务,甚至是直接的现金收购/服务赞助;在这种情况下,接受帮助自然是首选的方案。 我认为建立有效的捐助途径不失为缓解这一问题的良方,正如 AlmaLinux 、RockyLinux 或是 cdnjs 、jsdelivr 一样,这些服务背后都有着可靠的企业长期提供捐助承诺,也帮助项目不断成长和有效地提供服务。
序幕
和 WDCP 、LNMP 、OneinStack 一样,这次的 Staticfile 、BootCDN 、Polyfill 事件也是背后指向同一个组织[[1]]。更进一步的研究表明这些组织似乎会恶意攻击其他提供类似服务的供应商,同时采取接触洽谈来并入攻击目标。 在这种做法下,曾经由七牛云提供服务的Staticfile.org被易手,而原先由个人提供服务、由又拍云提供接入服务的BootCSS也同样被易手。 但是这些背后的交易在事件发生前却没有人进行公开,也许是原来的提供者厌倦了日复一日付出却看不到回报的生活,也许是这些组织瞒天过海许下了虚假的承诺,让原本积累了大量用户的基础服务成为了这些组织用来攻击用户们的利刃。
探究
大多数关于这次攻击的报道集中于一个星期之前,然而事件的开始却远早于这个时间。一年以前,V2EX 社区就有用户发文表示 BootCSS 的静态资源被投毒[2]。 通过查阅记录可以发现,BootCSS.com 由王赛于 2012 年底批量注册,建站初期主要提供的是 BootStrap 介绍和交流[3,4,5]。于此同时进行批量注册的还有 golaravel.com 等一系列技术栈的中文网,猜测是想使用站群方式来进行项目文档的本地化,同时积累受众用户。 
在 2013 年十一月初,BootStrap 中文网上线了 OpenCDN 加速服务,由又拍云赞助,提供 cdnjs 的国内镜像[6]。 
也许是由于用户的增长又拍云难以承担高额的成本,又或者是又拍觉得收益无法 Cover 成本,这段关系一直持续到了 2017 年年底[7]。自此之后的一段时间,提供服务的 CDN 便开始快速变更,从白山云到京东云,最终到了 10 月份由于账单压力或是其他原因出现了大面积的服务中断[8]。 
在恢复后,原先的服务开始由猫云提供,自此开始 BootCDN 的服务出现了一些不连续的中断事件[9]。 
2019 年 3 月、10 月、2020 年 1 月陆续出现小规模的中断,尽管如此,但是在接下来的几年时间中,猫云一直为 BootCDN 提供加速服务,只是加速域名从cdn.bootcss.com更换为了cdn.bootcdn.net;而于此同时百度静态资源公共库则彻底停止了服务。 
时间来到 2022 年,在 1 月份经历了中断后,2 月份猫云或许是基于和又拍云同样的原因停止了赞助,服务商也从此开始变更为了极兔云[10]。 
或许是由于极兔云本身是融合 CDN 服务,与上一家同样类型的赞助商服务相冲突的原因,BootCDN 发布公告表示将下线cdn.bootcss.com域名。 
在此期间,jsDelivr 的备案被关停、解析被污染,从此基本断绝了在中国大陆的使用。
梦醒
2023 年 4 月份,BootCDN 的三个关联域名[bootcdn.net,bootcdn.cn,bootcss.com]ICP 备案变更为郑州紫田网络科技有限公司,同时域名注册商也从阿里云转入腾讯云,由此揭幕了噩梦的来临[11]。 
2023 年 6 月份,开始有用户陆续发现部分静态资源内存在投毒行为[12]。 
即便到现在,投毒行为仍在继续,大量用户反馈存在资源被投毒[13]。 
自此 BootCDN 这个拥有十多年历史的国内静态资源加速服务彻底沦为了攻击者的工具,恶意代码随意被嵌入无数正在使用的网站中。而由于 BootCDN 历史久远,以至于许多生产环境甚至都不知道他们曾经引入了该服务。而这样的攻击相信还会继续持续下去,直到大家渐渐意识到...又或是仍旧...
巧合
无独有偶,原本由七牛云提供服务的 Staticfile CDN 于 2023 年 10 月进行了备案信息变更和注册局转移[14]。 
两个关联域名staticfile.org和staticfile.net被转入河南泉磐网络科技有限公司。 而先前 BootCDN 所转入的公司名称为郑州紫田网络科技有限公司,两者同为河南省郑州市的相同类型公司。而先前Ze-Zheng Wu所发现的几个域名由统一组织控制高度符合[15]。 通过天眼查查询可知紫田科技旗下知名的一个产品为51.La站点统计平台。 
通过 Bing 搜索不难发现在 2023 年集中出现大量使用该统计平台遇到劫持的案例。 
通过天眼查对紫田科技股东徐征进行查询,发现其曾担任郑州帝恩爱斯网络科技有限公司法定代表人及高管,也曾担任河南云打包网络科技有限公司高管和股东。 
而 Staticfile 域名持有公司河南图网信息技术有限公司的法人申石磊同时任职郑州帝恩爱斯网络科技有限公司法定代表人。 
而 Staticfile 的域名注册商商中在线也与紫田科技关联的公司存在着说不清道不明的关系。 
自此可以确定这两个原本由不同云厂商所赞助的静态资源加速服务已经被同一组织所控制,与上述Ze-Zheng Wu的调查一致。 看似似乎这只是一个名不见经传的小公司所为,然而这只不过是挡在云层前的迷雾。 通过查阅可以发现郑州紫田网络科技有限公司总经理李跃磊同时担任河南亿恩科技股份有限公司股东。
通过天眼查透视链可以查看到企业彼此之间的关联信息。 
故事到这里似乎就结束了,然而还有收购 polyfill 服务的那家公司Funnull需要进行调查。通过查询域名注册和备案信息可以发现背后的公司为南京妙彩文化传播有限公司。 
这家公司的主营业务则是为博彩网站提供国内优化 CDN 服务,与上述的劫持行为不谋而合。 
答案
这就像一张巨大的关系网,串联起了利益链中的彼此。每一家公司都看似运营者合规可靠的服务,背后进行的确实见不得人的勾当。
郑州紫田网络科技有限公司 商中在线科技股份有限公司 河南亿恩科技股份有限公司 南京妙彩文化传播有限公司 河南图网信息技术有限公司 河南云打包网络科技有限公司 北京新网互联软件服务有限公司 郑州帝恩爱斯网络科技有限公司 镇痛
从来没有什么疼痛能够有效缓解,更何况是这种绝症。 目前最为可靠的同类服务为字节跳动静态资源公共库 你可以将以下地址进行修改
cdn.bootcss.com cdn.bootcdn.net/ajax/libs cdn.staticfile.net cdn.staticfile.org 替换为
//阿里云 lf3-cdn-tos.bytecdntp.com/cdn/expire-1-M //金山云 lf6-cdn-tos.bytecdntp.com/cdn/expire-1-M //白山云 lf9-cdn-tos.bytecdntp.com/cdn/expire-1-M //华为云 lf26-cdn-tos.bytecdntp.com/cdn/expire-1-M 或者你可以尝试其他的提供商
//360 奇舞团 https://lib.baomitu.com/ //zstatic.net 又拍云赞助 s4.zstatic.net/ajax/libs //7ED use.sevencdn.com/ajax/libs //Web 缓存网 cdnjs.webstatic.cn/ajax/libs //晓白云 sf.akass.cn //泽瑶网络 jsDelivr 镜像 cdn.jsdmirror.com [1]https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/ [2]t/950163 [3]https://web.archive.org/web/20121206014141/http://www.bootcss.com/ [4]https://ip.sb/whois/bootcss.com [5]https://www.icpapi.com/%E4%BA%ACICP%E5%A4%8711008151%E5%8F%B7/ [6]https://web.archive.org/web/20131103022433/http://open.bootcss.com/ [7]https://web.archive.org/web/20171230183848/http://www.bootcdn.cn/ [8]https://global.v2ex.com/t/494375 [9]https://web.archive.org/web/20190119210705/https://www.bootcdn.cn/ [10]https://web.archive.org/web/20220208201547/https://www.bootcdn.cn/ [11]https://whoisfreaks.com/tools/whois/history/lookup/bootcss.com [12]t/950163 [13]https://github.com/Tencent/vConsole/issues/683 [14]https://www.icpapi.com/staticfile.net/ [15]https://x.com/mdmck10/status/1806349965733544160
153 条回复 2025-07-10 21:13:23 +08:00
 | 1 Vindroid 2024-07-11 08:53:10 +08:00 我还以为你在说那件事 |
 | 2 WildCat 2024-07-11 08:53:13 +08:00  3 我以为是食用油。。。 |
 | 3 yolee599 2024-07-11 09:04:07 +08:00 via Android 1 我还以为你是在说油罐车。就这个不可避免,多关注社区动态,保持软件包更新,不使用冷门的不维护的软件包 |
 | 4 zglw2012 2024-07-11 09:05:15 +08:00 我也以为是食用油。。。 |
 | 5 hccsoul326 2024-07-11 09:05:16 +08:00 天下攘攘,皆为利往. |
 | 6 pursuit9 2024-07-11 09:05:50 +08:00 我也以为是食用油 |
 | 7 shew5689 2024-07-11 09:10:25 +08:00 16 国内互联网生态和食用油也差不多~ |
 | 8 coolfan 2024-07-11 09:13:30 +08:00 花钱养人 |
 | 9 monkeyWie 2024-07-11 09:13:50 +08:00 1 毕竟郑姆斯特丹 |
 | 10 frankkly 2024-07-11 09:16:59 +08:00 我以为你说的油 |
 | 11 |
 | 12 8Ly9vkUc 2024-07-11 09:20:21 +08:00 我以为是食用油...  |
 | 13 phpcxy 2024-07-11 09:20:38 +08:00 第一反应也是油罐车。 感谢楼主的文章 |
 | 14 SomeBodsy 2024-07-11 09:31:43 +08:00 居然不是食用油 |
 | 15 woniuge 2024-07-11 09:51:28 +08:00 |
 | 16 archxm 2024-07-11 10:17:09 +08:00 via Android 如果你在荒岛,没吃的,只有牛粪,管饱。 你会感叹吗,供应链太脏啦,不吃不吃 |
 | 17 0o0O0o0O0o 2024-07-11 10:24:06 +08:00 via iPhone polyfill 的结果似乎是动态的,SRI 也无效,在没有任何浏览器提供的安全保障之前,我认为应该彻底避免使用它,而不是往下一个迟早会作恶或被作恶的服务逃难。至于真正的静态资源 CDN ,SRI 不够吗? https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity |
 | 18 BlueSkyXN 2024-07-11 10:39:48 +08:00 5 这时候就不得不提天眼查、ICP 备案和域名实名制了 不然很难跟踪这些违法的黑产组织 |
 | 19 totoro625 2024-07-11 10:40:52 +08:00 1 自建缓存吧,自建反代,等等,比如 docker 、apt ,这个世界除了自己,没有什么值得信任的 |
 | 20 ashong 2024-07-11 10:41:47 +08:00 润! |
 | 21 protonme 2024-07-11 10:54:22 +08:00 从多个镜像同时 fetch JS 文件,并设置 SRI ,通过 JS 的方式做故障转换。 |
 | 22 spueruser 2024-07-11 11:27:14 +08:00 看半天原来不是油啊 |
 | 23 dumbass 2024-07-11 11:53:23 +08:00 2 the one and only way: run |
 | 24 robinchina 2024-07-11 11:59:50 +08:00 放自己服务器吧,js 文件也没多大 |
 | 25 C0VN 2024-07-11 13:35:27 +08:00 2 不是,这也水深火热。不懂。是自动触发敏感词吗? |
 | 26 jackmod 2024-07-11 14:04:29 +08:00 1 云时代大断网,没有流通的云就会变质。 只能像以前那样,所有资源从外网下载下来,再由自己提供,别依赖三方 CDN 了。 |
 | 27 insignificance 2024-07-11 14:25:13 +08:00 能否用更加简明的话语表述一下,这文字看起来像 AI 生成的。 |
| 28 0o0O0o0O0o 2024-07-11 17:08:52 +08:00 via iPhone 52 |
 | 29 Stoney 2024-07-12 09:18:31 +08:00 via iPhone 我也以为是油罐车 |
 | 30 phithon 2024-07-16 17:39:42 +08:00 字节跳动 CDN 感觉好久没更新了,bootstrap 版本只到 5.1 |
 | 31 CHS OP @phithon 确实如此,他们的最后一次同步应该是在 22 年年中,你可以尝试使用我提供的 https://cdnjs.snrat.com/ 或是 https://www.zstatic.net/ 同步的资源比较新 |
 | 32 malagebidi 2024-07-17 13:59:48 +08:00 我记得多年前,是 bootcss 第二次中断的时候我就撤走了,然后就没再使用 cdn 加速。 |
 | 33 Pastsong 2024-07-17 14:22:45 +08:00 2 非常有意义和价值的文章,很可惜 v 站标记水深火热后会影响搜索引擎收录 |
 | 34 dooonabe 2024-07-17 14:48:48 +08:00 支持支持 |
 | 35 GeruzoniAnsasu 2024-07-17 15:19:22 +08:00 13 供应链投毒是个很严重的信息安全问题,这篇文章内容详实有理有据,评论区也并没有吵起来或彻底歪向另一个方向,建议重新移动回如 /go/security 这样的节点 @livid |
 | 36 hackyuan 2024-07-17 15:20:17 +08:00 1 有价值的文章,可惜水深火热了 |
 | 37 MiracleShadow 2024-07-17 15:21:43 +08:00 1 |
 | 38 drymonfidelia 2024-07-17 16:33:41 +08:00 1 @GeruzoniAnsasu 这篇文章评论区前 15 楼基本都在回复食用油,已经无法讨论下去了 |
 | 39 cat 2024-07-17 16:37:41 +08:00 1 @drymonfidelia 那把故意歪楼(抖机灵)的楼层 甚至回复人 ban 了,也比一刀切让这么好的贴子进水深火热好 |
 | 40 Configuration 2024-07-17 16:58:40 +08:00 |
 | 41 zficode 2024-07-17 17:35:10 +08:00 via Android 支持 |
 | 42 hellodigua 2024-07-17 17:58:01 +08:00 这么好的文章是怎么进水深火热的,分析的很深刻啊 |
 | 43 yuzo555 2024-07-17 18:01:11 +08:00 “而 Staticfile 的域名注册商商中在线也与紫田科技关联的公司存在着说不清道不明的关系。” 这个纯属天眼查这种软件的一通乱推了,你自己看图里有多少赫赫有名的证券公司/上市公司甚至天津国资委、港股通的公司都来了。 |
 | 44 adimn 2024-07-17 18:16:39 +08:00 有价值的文章,可惜水深火热了 |
 | 45 ssh 2024-07-17 18:23:04 +08:00 这种可以算上互联网界的黑恶势力了吧,先恶意投毒,然后上门联系收购。 |
 | 47 harryge 2024-07-17 19:23:53 +08:00 能报警,起诉吗 |
 | 48 imhx233 2024-07-17 19:26:18 +08:00 字节公共库都一万年不更新了: https://cdn.bytedance.com/?query=jquery 别推荐用国内的公共资源库了,老老实实自己打包吧 |
| 49 imhx233 2024-07-17 19:26:50 +08:00 1 出了这么多事还搁着推荐别的。。真的是。。 |
 | 50 kinghly 2024-07-17 19:40:37 +08:00 via Android 感谢曝光 |
 | 51 viewer003 2024-07-17 22:28:41 +08:00 牛逼 |
 | 52 J0N 2024-07-17 22:30:25 +08:00 感谢曝光,已点推荐,希望热门让更多同行看到避坑。 |
 | 53 lingaoyi 2024-07-17 22:34:41 +08:00 via iPhone 牛逼啊…. |
 | 54 naoying 2024-07-17 2:40:28 +08:00 huoqianliuming |
| 55 ssh 2024-07-17 22:42:13 +08:00 |
 | 56 xzaf 2024-07-17 22:43:38 +08:00 lz 牛逼!赞 |
 | 57 Ct5T66PVR1bW7b2z 2024-07-17 22:45:59 +08:00 狠狠曝光这些无良的公司 |
 | 58 xlost 2024-07-17 22:47:23 +08:00 干就完事了 |
 | 59 john004 2024-07-17 23:16:07 +08:00 via iPhone 支持 op |
 | 60 RoccoShi 2024-07-17 23:16:36 +08:00 |
 | 61 z5e56 2024-07-17 23:17:48 +08:00 via Android @0o0O0o0O0o 看一下水深火热里面的贴子 有些争议不大甚至回复没两条都进去了。只能说是常规操作了。虽然现在这个贴子又移回来了 |
 | 62 Livid MOD PRO 8 |
 | 63 jasonkayzk 2024-07-17 23:28:19 +08:00 感谢曝光 |
 | 64 forQ 2024-07-17 23:30:13 +08:00 原来如此 |
 | 65 henix 2024-07-17 23:31:14 +08:00 可以从多个角度思考: * 宏观角度:一些有正外部性的东西,可能最好是政府 / 国企来牵头,普通组织很难负担这种成本 * 个体角度:免费的可能是最贵的 |
 | 66 icaolei 2024-07-17 23:33:55 +08:00 1 可不可以去告他们涉嫌「非法侵入计算机信息系统罪」啊? 把他们全给抓喽! |
 | 67 lovedebug 2024-07-17 23:40:52 +08:00 图片都挂了吗? |
| 68 CHS OP 1 @lovedebug 勉强恢复了下,不行可以 Archive.org |
 | 70 asuraa 2024-07-18 00:22:35 +08:00 感谢曝光 |
 | 71 KMpAn8Obw1QhPoEP 2024-07-18 00:57:37 +08:00 via Android 牛逼 差点错过好帖子 |
 | 72 yvkino 2024-07-18 01:54:48 +08:00 厉害啊 |
 | 73 ivvei 2024-07-18 02:12:46 +08:00 via Android 菠菜广告,为什么不直接报警啊 |
 | 74 92DISPfZMyn9IZaw 2024-07-18 02:50:49 +08:00 硬刚到底! |
| 75 ktqFDx9m2Bvfq3y4 2024-07-18 03:40:51 +08:00 via iPhone 上来支持一下 OP ! |
 | 76 lleohao 2024-07-18 05:31:54 +08:00 via iPhone csp 加起来 |
 | 77 onlyu 2024-07-18 07:40:19 +08:00 2 河南人才多 |
 | 78 cmdOptionKana 2024-07-18 07:53:20 +08:00 3 这个帖子竟然被放出来了,V 站牛逼! |
 | 79 ErZhou 2024-07-18 08:11:12 +08:00 我也以为是食用油。。。 |
 | 80 lifeintools 2024-07-18 08:15:11 +08:00 2 还是河南人才多 |
 | 81 xmlf 2024-07-18 08:19:44 +08:00 via Android 支持楼主,感谢您做了这么多努力,很有意义 |
| 82 lifeintools 2024-07-18 08:23:44 +08:00 感谢楼主,已经切换了 |
 | 83 BeforeTooLate 2024-07-18 08:30:04 +08:00 3 @drymonfidelia >这篇文章评论区前 15 楼基本都在回复食用油,已经无法讨论下去了 直接水深火热,有多少人会直接看不到质量这么高的主题了? 有些操作,我估计 OP 懵逼,其他人也同样一脸疑惑。 |
 | 84 gdrk 2024-07-18 08:30:09 +08:00 之前只是一觉得好多 CDN 不稳定,后来基本都是锁版本打包了,没想到后面还有这么多的利益关系,感谢楼主~ |
 | 85 s4d 2024-07-18 08:42:02 +08:00 这种国安不上吗? |
| 86 QUC062IzY3M1Y6dg 2024-07-18 08:48:43 +08:00 这种精华帖应该让更多人看到 |
 | 87 Xinu 2024-07-18 08:49:48 +08:00 感谢楼主,支持楼主!! |
 | 88 superrichman 2024-07-18 08:51:38 +08:00 好耶,从水深火热里移出来了。 |
 | 89 biumall 2024-07-18 08:58:11 +08:00 天下没有免费的午餐 基本不用外部的,虽然访问速度慢一点,但稳妥些 |
 | 90 JL1990 2024-07-18 09:22:20 +08:00 支持 op, 有种战地记者的感觉 |
 | 91 chirping 2024-07-18 09:34:21 +08:00 感谢 |
 | 92 stormwindcity 2024-07-18 09:39:06 +08:00 支持,bootcdn 已经全换掉了 |
| 93 4Et5ShxMIq58n6Lr 2024-07-18 09:41:16 +08:00 默默的表示支持 |
 | 94 yxhzhang185 2024-07-18 09:42:37 +08:00 1 PCDN 可以来波黑吃黑 |
 | 95 YJi 2024-07-18 09:45:36 +08:00 从水深火热出来啦!! |
 | 96 duanxianze 2024-07-18 09:46:48 +08:00 1 很早之前有次吃过大亏,jsdelivr 突然无法访问,自那以后再也不用免费的三方 cdn 了 |
 | 97 madku 2024-07-18 09:49:32 +08:00 支持 |
 | 98 89adc64 2024-07-18 09:49:54 +08:00 没用 CDN ,有省流哥总结一下吗 |
 | 99 zhng920823 2024-07-18 09:53:54 +08:00 @Livid #62 无有可能, 那几位也被投毒了? |
 | 100 inhzus 2024-07-18 09:55:33 +08:00 支持楼主! |
Select Language