重要等级: 需要注意。
原因: 自2024年5月起,GoEdge CDN的主要开发者发布了两个 1.3.9 版本后失去联系并解散了QQ交流群,其中的节点程序文件包含以下可疑URL:
https://cdn.jsdelivr.vip/jquery.min-3.7.0.js
同一天,域名由 [goedge*cn] 更改为[goedge*cloud]。目前,goedge*cn 已取消ICP备案,并已从国内阿里云迁移到Godaddy。
从该版本至 edge-node v1.4.1,该恶意代码一直存在于程序中。官方在7月26日事件发生后发布的两个同版本号程序中,一个剔除了该恶意跳转。此外,官方群客服发布“不信谣、不传谣”声明后,群人数开始大量减少。
网友记录显示程序编译环境也有变化,同时通过查询 [cdn*jsdelivr*vip] 的CNAME记录,推测该程序可能已被方能等人接管,引发对程序已售出的担忧。
处置建议:
1. 停止使用GoEdge CDN。
2. 降级至1.3.9版本之前,同时在主控中屏蔽GoEdge域名:goedge*cn/goedge*cloud。
补充: 相关JS已被解密。官方表示不对中国用户提供服务,但该JS只能通过中国网络访问,且专为中国网络配置了境内CDN节点,并使用高仿域名 [jsdelivr*vip],该功能用于劫持用户访问,分时段区域跳转至六合彩等博彩网站。
结语: 尽管GoEdge更换了主体并发布了无毒版本,但我们仍需警惕供应链投毒的风险。免费或开源项目也可能被利用,世上没有真正的免费午餐。
参考链接: V2ex / NodeSeek / Hostloc
