供应链投毒后，我们的选择还剩下哪些？

![](https://www.54yt.net/usr/uploads/2024/07/3477431422.webp)

### 前言

从早前的LNMP、OneinStack到XZ Utils，再到现在的Staticfile、BootCDN；供应链攻击总是让人猝不及防。纵观这些被攻击的项目，往往都是无处不在，经常被大家所使用，但是却并没有给提供者带来什么收入。
在突然有一天，提供者感到疲惫不堪，却又迫于用户们的压力无法关停服务的情况下，突然有新的组织/个人来帮助一起进行开发或提供服务，甚至是直接的现金收购/服务赞助；在这种情况下，接受帮助自然是首选的方案。
我认为建立有效的捐助途径不失为缓解这一问题的良方，正如AlmaLinux、RockyLinux或是cdnjs、jsdelivr一样，这些服务背后都有着可靠的企业长期提供捐助承诺，也帮助项目不断成长和有效地提供服务。

### 序幕

和WDCP、LNMP、OneinStack一样，这次的Staticfile、BootCDN、Polyfill事件也是背后指向同一个组织[[1]]。更进一步的研究表明这些组织似乎会恶意攻击其他提供类似服务的供应商，同时采取接触洽谈来并入攻击目标。
在这种做法下，曾经由七牛云提供服务的[Staticfile.org](http://Staticfile.org "Staticfile.org")被易手，而原先由个人提供服务、由又拍云提供接入服务的[BootCSS](https://www.bootcss.com/ "BootCSS")也同样被易手。
但是这些背后的交易在事件发生前却没有人进行公开，也许是原来的提供者厌倦了日复一日付出却看不到回报的生活，也许是这些组织瞒天过海许下了虚假的承诺，让原本积累了大量用户的基础服务成为了这些组织用来攻击用户们的利刃。

### 探究

大多数关于这次攻击的报道集中于一个星期之前，然而事件的开始却远早于这个时间。一年以前，V2EX社区就有用户发文表示BootCSS的静态资源被投毒[2]。
通过查阅记录可以发现，BootCSS.com由王赛于2012年底批量注册，建站初期主要提供的是BootStrap介绍和交流[3,4,5]。于此同时进行批量注册的还有golaravel.com等一系列技术栈的中文网，猜测是想使用站群方式来进行项目文档的本地化，同时积累受众用户。
![域名批量注册备案](https://www.54yt.net/usr/uploads/2024/07/1112609884.webp)
在2013年十一月初，BootStrap中文网上线了OpenCDN加速服务，由又拍云赞助，提供cdnjs的国内镜像[6]。
![静态资源加速服务上线](https://www.54yt.net/usr/uploads/2024/07/1920556555.webp)
![又拍云提供赞助](https://www.54yt.net/usr/uploads/2024/07/1160348877.webp "又拍云提供赞助")
也许是由于用户的增长又拍云难以承担高额的成本，又或者是又拍觉得收益无法Cover成本，这段关系一直持续到了2017年年底[7]。自此之后的一段时间，提供服务的CDN便开始快速变更，从白山云到京东云，最终到了10月份由于账单压力或是其他原因出现了大面积的服务中断[8]。
![又拍云服务中断](https://www.54yt.net/usr/uploads/2024/07/1410603159.webp "又拍云服务中断")
在恢复后，原先的服务开始由猫云提供，自此开始BootCDN的服务出现了一些不连续的中断事件[9]。
![提供商变更为猫云](https://www.54yt.net/usr/uploads/2024/07/38043456.webp "提供商变更为猫云")
2019年3月、10月、2020年1月陆续出现小规模的中断，尽管如此，但是在接下来的几年时间中，猫云一直为BootCDN提供加速服务，只是加速域名从`cdn.bootcss.com`更换为了`cdn.bootcdn.net`；而于此同时百度静态资源公共库则彻底停止了服务。
![百度静态资源公共库停止服务](https://www.54yt.net/usr/uploads/2024/07/3918692803.webp "百度静态资源公共库停止服务")
时间来到2022年，在1月份经历了中断后，2月份猫云或许是基于和又拍云同样的原因停止了赞助，服务商也从此开始变更为了极兔云[10]。
![服务商变更为极兔云](https://www.54yt.net/usr/uploads/2024/07/1065401829.webp "服务商变更为极兔云")
或许是由于极兔云本身是融合CDN服务，与上一家同样类型的赞助商服务相冲突的原因，BootCDN发布公告表示将下线`cdn.bootcss.com`域名。
![BootCDN公告](https://www.54yt.net/usr/uploads/2024/07/3816909016.webp "BootCDN公告")
在此期间，jsDelivr的备案被关停、解析被污染，从此基本断绝了在中国大陆的使用。

### 梦醒

2023年4月份，BootCDN的三个关联域名[bootcdn.net,bootcdn.cn,bootcss.com]ICP备案变更为`郑州紫田网络科技有限公司`，同时域名注册商也从阿里云转入腾讯云，由此揭幕了噩梦的来临[11]。
![备案及注册商变更](https://www.54yt.net/usr/uploads/2024/07/1176657452.webp "备案及注册商变更")
2023年6月份，开始有用户陆续发现部分静态资源内存在投毒行为[12]。
![用户开始发现投毒行为](https://www.54yt.net/usr/uploads/2024/07/2720012797.webp "用户开始发现投毒行为")
即便到现在，投毒行为仍在继续，大量用户反馈存在资源被投毒[13]。
![持续的投毒行为](https://www.54yt.net/usr/uploads/2024/07/2002450129.webp "持续的投毒行为")
自此BootCDN这个拥有十多年历史的国内静态资源加速服务彻底沦为了攻击者的工具，恶意代码随意被嵌入无数正在使用的网站中。而由于BootCDN历史久远，以至于许多生产环境甚至都不知道他们曾经引入了该服务。而这样的攻击相信还会继续持续下去，直到大家渐渐意识到...又或是仍旧...

### 巧合

无独有偶，原本由七牛云提供服务的Staticfile CDN于2023年10月进行了备案信息变更和注册局转移[14]。
![Staticfile备案变更](https://www.54yt.net/usr/uploads/2024/07/3469569330.webp "Staticfile备案变更")
![Staticfile域名转移](https://www.54yt.net/usr/uploads/2024/07/1910424045.webp "Staticfile域名转移")
两个关联域名`staticfile.org`和`staticfile.net`被转入`河南泉磐网络科技有限公司`。
而先前BootCDN所转入的公司名称为`郑州紫田网络科技有限公司`，两者同为河南省郑州市的相同类型公司。而先前`Ze-Zheng Wu`所发现的几个域名由统一组织控制高度符合[15]。
通过天眼查查询可知紫田科技旗下知名的一个产品为`51.La`站点统计平台。
![紫田科技旗下产品](https://www.54yt.net/usr/uploads/2024/07/1919039665.webp "紫田科技旗下产品")
通过Bing搜索不难发现在2023年集中出现大量使用该统计平台遇到劫持的案例。
![51.La劫持](https://www.54yt.net/usr/uploads/2024/07/742121885.webp "51.La劫持")
通过天眼查对紫田科技股东`徐征`进行查询，发现其曾担任`郑州帝恩爱斯网络科技有限公司`法定代表人及高管，也曾担任`河南云打包网络科技有限公司`高管和股东。
![曾任DNS.La法人](https://www.54yt.net/usr/uploads/2024/07/1731231198.webp "曾任DNS.La法人")
而Staticfile域名持有公司`河南图网信息技术有限公司`的法人`申石磊`同时任职`郑州帝恩爱斯网络科技有限公司`法定代表人。
![申石磊实际控制企业](https://www.54yt.net/usr/uploads/2024/07/353149248.webp "申石磊实际控制企业")
而Staticfile的域名注册商商中在线也与紫田科技关联的公司存在着说不清道不明的关系。
![](https://www.54yt.net/usr/uploads/2024/07/3944715471.webp)
自此可以确定这两个原本由不同云厂商所赞助的静态资源加速服务已经被同一组织所控制，与上述`Ze-Zheng Wu`的调查一致。
看似似乎这只是一个名不见经传的小公司所为，然而这只不过是挡在云层前的迷雾。
通过查阅可以发现`郑州紫田网络科技有限公司`总经理`李跃磊`同时担任`河南亿恩科技股份有限公司`股东。

![李跃磊任职信息](https://www.54yt.net/usr/uploads/2024/07/2423598592.webp "李跃磊任职信息")
通过天眼查透视链可以查看到企业彼此之间的关联信息。
![](https://www.54yt.net/usr/uploads/2024/07/1172296499.webp)
故事到这里似乎就结束了，然而还有收购polyfill服务的那家公司`Funnull`需要进行调查。通过查询域名注册和备案信息可以发现背后的公司为`南京妙彩文化传播有限公司`。
![](https://www.54yt.net/usr/uploads/2024/07/132754244.webp)
这家公司的主营业务则是为博彩网站提供国内优化CDN服务，与上述的劫持行为不谋而合。
![](https://www.54yt.net/usr/uploads/2024/07/2137386275.webp)
不过更为危险的是这家公司同时还提供诈骗、钓鱼、色站等令人发指的服务，将供应链攻击提升到了新的高度。
![](https://www.54yt.net/usr/uploads/2024/07/799859749.webp)

### 答案

这就像一张巨大的关系网，串联起了利益链中的彼此。每一家公司都看似运营者合规可靠的服务，背后进行的确实见不得人的勾当。
```
郑州紫田网络科技有限公司
南京妙彩文化传播有限公司
河南图网信息技术有限公司
河南亿恩科技股份有限公司
汕头赢啦网络科技有限公司
广州有啦网络科技有限公司
河南云打包网络科技有限公司
郑州帝恩爱斯网络科技有限公司
```

### 镇痛

从来没有什么疼痛能够有效缓解，更何况是这种绝症。
目前最为可靠的同类服务为[字节跳动静态资源公共库](https://cdn.bytedance.com/ "字节跳动静态资源公共库")
你可以将以下地址进行修改
```
cdn.bootcss.com
cdn.bootcdn.net/ajax/libs
cdn.staticfile.net
cdn.staticfile.org
```
替换为
```
//zstatic.net 又拍云赞助
s4.zstatic.net/ajax/libs
//本站提供，回源南科大，使用火山云CDN
cdnjs.snrat.com/ajax/libs
```
或者你可以尝试其他的提供商
```
//7ED
use.sevencdn.com/ajax/libs
//Web缓存网
cdnjs.webstatic.cn/ajax/libs
///字节跳动 最后更新于2022年
lf3-cdn-tos.bytecdntp.com/cdn/expire-1-M
lf6-cdn-tos.bytecdntp.com/cdn/expire-1-M
lf9-cdn-tos.bytecdntp.com/cdn/expire-1-M
lf26-cdn-tos.bytecdntp.com/cdn/expire-1-M
//360奇舞团，长期未更新
https://lib.baomitu.com/
//晓白云
sf.akass.cn
//泽瑶网络 jsDelivr镜像
cdn.jsdmirror.com
```

[1]https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/
[2]https://www.v2ex.com/t/950163
[3][https://web.archive.org/web/20121206014141/http://www.bootcss.com/](https://web.archive.org/web/20121206014141/http://www.bootcss.com/ "https://web.archive.org/web/20121206014141/http://www.bootcss.com/")
[4]https://ip.sb/whois/bootcss.com
[5]https://www.icpapi.com/%E4%BA%ACICP%E5%A4%8711008151%E5%8F%B7/
[6][https://web.archive.org/web/20131103022433/http://open.bootcss.com/](https://web.archive.org/web/20131103022433/http://open.bootcss.com/ "https://web.archive.org/web/20131103022433/http://open.bootcss.com/")
[7][https://web.archive.org/web/20171230183848/http://www.bootcdn.cn/](https://web.archive.org/web/20171230183848/http://www.bootcdn.cn/ "https://web.archive.org/web/20171230183848/http://www.bootcdn.cn/")
[8]https://global.v2ex.com/t/494375
[9][https://web.archive.org/web/20190119210705/https://www.bootcdn.cn/](https://web.archive.org/web/20190119210705/https://www.bootcdn.cn/ "https://web.archive.org/web/20190119210705/https://www.bootcdn.cn/")
[10][https://web.archive.org/web/20220208201547/https://www.bootcdn.cn/](https://web.archive.org/web/20220208201547/https://www.bootcdn.cn/ "https://web.archive.org/web/20220208201547/https://www.bootcdn.cn/")
[11]https://whoisfreaks.com/tools/whois/history/lookup/bootcss.com
[12]https://www.v2ex.com/t/950163
[13]https://github.com/Tencent/vConsole/issues/683
[14]https://www.icpapi.com/staticfile.net/
[15]https://x.com/mdmck10/status/1806349965733544160

40 条评论

Elvin
August 28th, 2024 at 11:00 pm

该评论仅登录用户及评论双方可见

回复
wuyuhanzijin
August 6th, 2024 at 09:19 pm

为了利益总有人不择手段……

回复
xxxxx
August 4th, 2024 at 11:51 am

支持博主

回复
啥情况
August 1st, 2024 at 11:52 pm

提一嘴，宝塔面板不少组件的CSS就是用的bootcss （比如那个 nginx免费防火墙）

回复
御宅男
July 24th, 2024 at 04:22 pm

无良公司我推荐用本地就发邮件说我诋毁他们公司声誉

回复
test
July 23rd, 2024 at 10:33 am

支持博主, 保护好自己~

回复
1999
July 23rd, 2024 at 03:22 am

为啥这个评论区没被灌水
v战都挂了一段时间

回复
君下巧
July 22nd, 2024 at 10:00 am

支持博主！

回复
leux
July 20th, 2024 at 10:03 am

感谢揭露，为众人抱薪者，不可使其冻毙于风雪

回复
51.la-TMD
July 19th, 2024 at 12:26 pm

谢谢举报，这种垃圾公司快点倒闭吧

回复
A
July 18th, 2024 at 08:04 pm

51.la已被境外菠菜集团米乐体育收购，去年的事情

回复
xiyu
July 18th, 2024 at 05:25 pm

支持

回复
御枫林下
July 18th, 2024 at 03:19 pm

这下难顶，这边大规模在用bootCDN

回复
Ling
July 18th, 2024 at 01:02 pm

我用字节的 https://cdn.bytedance.com/

回复
xxx
July 18th, 2024 at 11:18 am

支持博主，匿了

回复
kael
July 18th, 2024 at 11:15 am

支持博主

回复
Mautz
July 18th, 2024 at 10:16 am

你这个网站的鼠标滚轮好容易起飞呀，轻轻一滚划过去一大截，别的网站滚起来都不会这样

回复
1. TheMoon博主
  July 19th, 2024 at 10:45 pm
  
  @Mautz
  一直以来的一个Bug，还没修
  
  回复
彭于晏
July 18th, 2024 at 10:06 am

和51la有关系？那实锤了。那B玩意js代码投毒是真的被锤了的。

回复
yuicode
July 18th, 2024 at 09:51 am

坚决支持

回复
额
July 18th, 2024 at 09:43 am

建议同步发在掘金，知乎上这种专业点的论坛上。更容易扩大影响

回复
bug
July 18th, 2024 at 08:35 am

支持一下

回复
Annoymous
July 18th, 2024 at 02:35 am

支持一把楼主，傻逼黑产暴击 v2ex 都影响我刷帖子了。

回复
你好，再见
July 18th, 2024 at 12:30 am

楼主我支持你，博客cdn快关掉别被刷了，主动联系警察不要害怕

回复
test
July 17th, 2024 at 09:57 pm

也许是互联网上的最后一片净土

回复
test
July 17th, 2024 at 09:53 pm

v站不也是套了cf吗

回复
test
July 17th, 2024 at 09:50 pm

记得保护好你自己哥

回复
路人
July 17th, 2024 at 09:50 pm

感谢博主分析

回复
且凑
July 17th, 2024 at 09:39 pm

v2ex已经宕机很久了，这些黑产真TM黑啊

回复
user
July 17th, 2024 at 09:24 pm

hostloc 上也有很多人反馈 51la 和 bootcss 主动投毒

回复
竹林里有冰
July 17th, 2024 at 09:20 pm

npmmirror 也支持了类似 jsdelivr 的静态文件提供功能，只不过是白名单机制。白名单在 Github，稍微有名一点的项目目前还是比较容易进的，算是目前我信任的选择之一。

回复
仰止
July 17th, 2024 at 09:18 pm

在V2看到楼主帖子了，过来支持一下。

回复
test
July 17th, 2024 at 08:59 pm

这是直接把v站给灌了啊

回复
test
July 17th, 2024 at 08:50 pm

审核中评论为什么也能被看到

回复
1. misaka
  July 17th, 2024 at 09:14 pm
  
  @test
  cdn缓存的问题，感觉
  
  回复
2. misaka
  July 17th, 2024 at 09:13 pm
  
  @test
  感觉是缓存搞的问题，只能让发布者看见的评论也被cdn缓存了...
  我回复你这个评论的时候，还能看见test test@test.com... ...
  
  回复
test
July 17th, 2024 at 08:47 pm

他们这是把v站直接d爆了吗？作死啊|´・ω・)ノ

回复
1. test
  July 17th, 2024 at 09:09 pm
  
  @test
  为什么我能看到审核中的评论。OωO
  
  回复
Misaka
July 17th, 2024 at 08:41 pm

感谢分析

回复
hack
July 17th, 2024 at 07:22 pm

支持一下

回复

发表评论取消回复

评论 *

私密评论

名称 *

邮箱 *

地址

40 条评论

发表评论 取消回复

发表评论取消回复