软件供应链之开源投毒案例

软件供应链之开源投毒

2025 年 2 月，知名 Java 工具库 Hutool 突然将代码仓库从开源社区组织 Dromara 迁移至贵州不够科技旗下账号，贡献者被大量移除，README 文件被修改。Hutool 在收购后频繁推送异常更新，被开发者举报存在“非必要依赖注入”，疑似为捆绑推广或数据收集铺路。通过收购开源项目，以合法商业行为掩盖潜在的灰产操作。

一个劣迹斑斑的坏小子收购 alist，而且还搞了小动作。

2025 年 4 月，开源网盘聚合工具 Alist（拥有 49.8K Star）被贵州不够科技收购后，社区发现其官方域名、文档内容被篡改，新增 VIP 技术支持等商业化内容，原开发者退出所有社群且长期沉默。更严重的是，新提交的代码中出现设备数据收集模块，桌面版下载链接甚至指向侵权的腾讯云存储地址。尽管社区抗议后相关代码被撤回，但用户担忧此前版本可能已植入未被发现的恶意代码。

开源服务器环境搭建工具 LNMP 被收购后，曾出现类似风险。金华某公司（与贵州不够科技存在关联）在收购后向安装脚本中植入恶意代码，试图收集用户服务器的敏感信息，如登录凭证、系统配置等。该事件被安全公司曝光后，引发社区对开源项目商业化收购的高度警惕。攻击者通过控制项目更新渠道，将恶意功能伪装成正常维护，利用用户对开源工具的信任实施攻击。

以上内容来源于网络，侵删。

参考:

[1]

&nbspSBOM 实战：让依赖管理不再头疼: https://mp.weixin.qq.com/s/kP7_rrkbeE81S6Eqr3Eq3w

[2]

&nbspSBOM 实战指南：7 步搞定供应链安全: https://mp.weixin.qq.com/s/scRkCPfnBXVi3bPshPAe3g