AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

在短短 72 小时里,50 k⭐ 的开源网盘项目 AList 突然“剧情反转”——代码仓库被陌生账号接管,下载地址整包跳到腾讯 COS,新版 Docker 镜像和桌面安装包都由未知实体重新构建;数百名贡献者则被“一键弹飞”。社区、媒体与安全圈高呼“暂停更新”,担忧演变成下一个 Hutool / GOEdge 式供应链投毒。

AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

2分钟搭建一个AList网盘系统

🌟 事件回顾:世界线为何突然偏移?

GitHub commit 与下载源大换血

  • 6 月 9 日,帐号 alist666 推出 commit ae7a77d,将桌面端所有安装包 URL 从 GitHub Release 改写为 bugo-1301111475.cos.ap-guangzhou.myqcloud.com 域名,且一次改动覆盖 macOS/Windows/Linux 五个平台
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!
  • 同日晚间,文档仓库又现大幅 diff:客服 QQ、微信二维码与同一 COS 链接插入其中
  • 最新 Dockerfile 及 docker pull 指向的新镜像也由 AlistGo 组织构建,Hash 与旧版不一致,引发“二进制污染”疑虑
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

“黑奴榜”与贡献者清零

  • 有网友截图证实,Github 侧全部外部协作者权限已被移除,只剩“新主人”团队。昔日贡献者头像被做成“黑奴榜”长图嘲讽 绷不住了。
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

原作者沉默,新团体为谁?

  • 开源社区表示 AList 已被贵州公司 不够科技(BugoTech) 收购,建议立刻停更
  • 同站后续报道中,原作者 xhofe 承认“项目交由公司运营,自己仅保留代码审核权”
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!
  • Readhub、CNBeta 等科技快讯迅速跟进,指出新公司正是当年收购 Hutool 的那家,引发“前科联想”
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

🗯️ 社区沸腾:来自三界的吐槽

场所典型观点
V2EX“官方文档域名换了、PR 尝试收集服务器信息,赶紧锁版本!”
Hostloc 论坛“下载地址被封,和 Hutool 是同一套路”
Naixi 论坛贴出 BugoTech 工商信息与 Hutool 关联,呼吁贡献者维权
Telegram 群群主已换 ID“alist666”,老维护者潜水,用户狂刷 “投毒?”
Linux.do 快讯悬赏新 fork,号召自建“洁净分支”

⚠️ 风险剖析:为何像极了供应链攻击?

  • 失去可信分发:COS 桶没有 GitHub Release 的签名/校验,任何持桶者可随时换包
  • 贡献者移除 + 社区断层:主导权集中在单方,审计真空极易被塞后门
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!
  • 历史前车之鉴
    • Hutool 收购后曾因广告与隐私收集闹出轩然大波
    • GOEdge 在 1.3.9 后版本被植入 JS 劫持跳转,被安全圈列为典型投毒案例
  • 用户场景高敏感:AList 常挂载私有云盘 / WebDAV,如被植入窃密代码,信息价值远高于普通博客
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

🔒 校验清单

TL;DR:锁版本 → 校验哈希 → 隔离网络 → 自行编译。

1. 版本冻结

  • 生产环境 回滚并钉死到 v3.40.0(Ownership 变更前最后 tag)

2. 二进制校验

  • sha256sum 对比历史 GitHub Release 哈希;不符即删。
  • Docker 用户执行 docker save 备份老镜像,防止 tag 被“偷梁换柱”。

3. 网络沙箱

  • 反向代理 + 出口白名单,仅放行网盘 API;其余全砍 ( iptables -A OUTPUT -d !<允许域> -j DROP )。
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

4. 源码体检 Checklist

模块红旗关键字
cmd/main.gohttp.Post, collect, stats
Dockerfilewget http://, `curl
前端 *.vue隐藏 iframe、<script src="…cos…">
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

🛡️ 长线 Buff:避免“二次黑化”

  1. Reproducible Build + Sigstore:推动项目使用 GoReleaser CI 自动出包并签名。
  2. OSS-Diff / Chainguard Enforce:监控 URL、LICENSE、Maintainer 变动,即时告警。
  3. 内部镜像仓 + Commit Pin:CI/CD 全部锁定 SHA;关键依赖自建 mirror。
  4. 多渠道分发:官方 Release、去中心化对象存储、社区镜像三线并行,降低单点劫持风险。
AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

🎀 小结 & 彩蛋

“当你在家里养一只可爱的仓鼠(开源项目)时,千万别把粮仓钥匙交给陌生人。” ——来自二次元宇宙的运维姐姐✨

AList 暂未确认已有恶意代码,但“开发者沉默 + 下载源私有化 + 权限集中”几乎命中供应链攻击的全部高危信号。把版本锁好、把网络关紧、静观其变,是当前最稳妥的姿势。愿我们都能守住自己的数据堡垒,不让爱用的开源小伙伴走向“魔王化”。如果你想一起撸源码、做差分审计,或寻找平替方案,欢迎在评论区 @ 我——一起开团刷副本吧!(≧▽≦)/

AList 被收购风波:疑似供应链投毒,官方仓库被接管、下载源换 COS!

给TA给糖
共{{data.count}}人
人已给糖
站长笔记经验分享

MaiBot:在代码世界种下樱花,做你最贴心的电子灵魂伴友

2025-6-1 15:25:28

源码分享

分享一个IP签名档(美化版)

2022-12-14 22:58:20

3 条回复 A文章作者 M管理员
  1. 倦意

    听说卖了35w

  2. yuesekaer

    在此谴责贵州某公司对Ailst的玷污(╬ ̄皿 ̄)

    • 大绵羊

      听说出了一个OpenLST