来源 ： 雪球App ， 作者 ： 张广才 ， （ ?increase/attach_2026031921609321_024539.html ）

8年血汗差点“彻夜清零”！只因“本身人”装了个「龙虾」，4个焦点堆栈被投毒

彰彰，这没有是一般攻打，这是细心计划的供给链攻打。

3 月 5 日早晨，我收到了一条来人人 OpenSourceMalware（OSM）宁静团队成员的 LinkedIn 私函。由于我最担忧的事件便是：本身误归并了带歹意代码的 PR，以是乃至连 GitHub Dependabot 主动天生的 PR，我都市细心 review。对许多次第员来讲读，Neutralinojs 不但是东西，更是一大米工程理心田。

过来多少年，我参加了大批时光打磨这个名目，并逐渐确立起社区生态，它曾三次当选 Google Summer of Code（GSoC）：2022、2024、2026 年。

同期也要谨严应用 AI，应用前必需花时光相识它的任务道理。

在此以前，我没有是没见过病毒、木马、社会工程学等攻打，但这大米模式的供给链攻打仍是第一次亲自阅历——目前的歹意软件曾经退化到恐惧的水平：您只要要履行一条 git clone、npm install，乃至不过把或人加进堆栈合作，电脑就能够中招。

紧要止血：第偶而间作念了什么？

固然那时还没有清晰这段歹意代码的破损力，但我间接按最高危缝隙处置惩罚：

（1）归并 OSM 的 PR，清算全部堆栈华厦歹意载荷；

（2）节略已构建的 nightly 版块，禁用 nightly 构建任务流；

（3）撤消我以前创立的全部 GitHub Token；

（4）阻止全部受感导堆栈默许分支的间接推送—— 这恰是咱们 Git 任务流里最致命的缝隙！

（5）检讨 GitHub 宣布汗青跟 NPM 包（@neutralinojs/neu、@neutralinojs/lib）；

（6）在全部受感导堆栈增添严重宁静布告，并经由过程 Discord 高优先级音讯告诉社区；

（7）运行周全宁静审计：检讨代码、活泼 Fork、堆栈配置、GitHub Actions、开垦东西等全部联系关系枢纽。我也同步告诉了全部奉献者，并给能够受感导的开垦者供给了建设计划。供给链攻打，已是这个时期开垦者最可骇的朋友。可当您最担忧的事以齐全出人预料的方法产生时，您该若何应答？

迩来，我就亲自阅历了这系数。即使主办事器被 Vercel 下架，攻打者仍然能够新建办事器，并把地方写入区块链，继承管制受害者电脑。目前名目全部堆栈曾经齐全清洁，咱们将继承袭击 2026 年 GSoC！

。我发明：注入歹意代码的强迫推送，来人人 Neutralinojs 构造异常晚期的一位“庄严员”，并且他的 GitHub 账号居然还领有全部堆栈的写入权限！

我马上撤消了他的权限，从新检讨全部堆栈，并同步给 OSM 团队。

我立刻接洽他，他回答：

预先，OSM 宣布了终极陈诉，从新扫描全部堆栈后证实：Neutralinojs 代码库已齐全宁静。我马上跟 OSM 成员合作，第偶而间保证奉献者、运用开垦者跟用户的宁静。它没有再倚赖守旧Bug，而是暗藏在合作者权限、开垦过程甚至 AI 插件生态之中，不声不响地产生。

整天后，这位账号被黑沉沉的“庄严员”证实：他是迩来名为 ClawHavoc 供给链攻打的受害者之一，病毒经由过程被侵犯的 OpenClaw 插件分散。福气差一丝，您耗时十年的血汗能够在整天之内乱付之东流，名目口碑也会透顶垮塌，再也无奈补救。

立案时辰：真确的侵犯旅途

只管如斯，但事件还没停止，我最先化身“侦察”，继承考察这件事件的泉源：攻打者竟然还能拜候其余堆栈（固然主堆栈曾经阻止间接推送），这究竟是怎样作念到的？

我一最先认为是本身的某个 GitHub Token 被盗，但现实并非如斯。而此次被打破的缘故原由异常特别 —— 竟是咱们开垦任务流里的一个Bug。我在 GitHub 上保护的一个热点户口源名目，卷入了一场年夜范围软件供给链攻打。

名目配景：一个对于标 Electron 的轻量级计划

这个名目叫 Neutralinojs。在户口源生态高度凋敝的明天，一溜代码、一个权限、一款插件，王人能够成为引爆供给链宁静危急的导火索。现在，同款歹意 JavaScript 载荷仍旧在经由过程其余被盗账号在 GitHub 上分散，而且泛起了多个变大米。

换句话讲读：这是一场差一丝就炸失全部生态的攻打！

荣幸的是，在 OSM 团队反对下，我经由过程清算 Git 记载、开放 GitHub 分支护卫规矩，透顶处理了此次危急。

但很快，我就证实代码库是果真被侵犯了：名目四个焦点堆栈所有被注入歹意 JavaScript 代码。

这个名目始终夸大两件事：极简计划跟机能优先。

据 OSM 表露：该歹意软件会从区块链生意业务中获得 C2 办事器地方。

上面，便是我户口源生活中最危险的一次变乱，以及我是若何在宁静团队跟一丝点“福气”的资助下，拯救回这个 8 年迈名目的。

原文衔接：https://levelup.gitconnected.com/my-8-year-old-open-source-project-was-a-victim-of-a-major-cyber-attack-24af7eb3a82b

作家 | Shalitha Suranga 编译 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

许多时分，咱们老是担忧瞎想华厦危险，却很少直面事实华厦恐惊。往常已有不计其数的跨平台运用基于它构建，开垦者社区还在连续强大，焦点奉献者也始终在踊跃推进名目迭代。它是一个轻量级的跨平台桌面运用开垦框架，2018 年我跟其余多少位开垦者一路运行了这个名目，但很快就酿成了我一小我私家保护。

我以为，以下是护卫您本身跟名目的症结倡议：

（1）马上开放分支护卫规矩，这是作念严格名目的第一步；

（2）永久没有要让 Git 明文保存 Token，Linux 下能够用 libsecret 宁静保存凭据；

（3）按期检讨堆栈写入权限，前成员脱离当即接纳权限；

（4）谨严挑选倚赖，下载前先顾念宁静警报；

（5）细心浏览全部倚赖的革新日记与宁静解释；

（6）最小权限准则，没有要无脑给全量权限；

（7）没有要自觉复制黏贴网上代码，越发是末端下令；

（8）全部主要账号（GitHub、NPM 等）必得开放 2FA。

劫难的最先：一条 LinkedIn 私函

我平常没有怎样刷 LinkedIn，但会当真张望私函 —— 许多人会来征询 Neutralinojs、GSoC，或是约请我加入技巧共享。

我的第一反馈是：我的 GitHub token 被盗了？仍是账号被侵犯了？但我对于宁静一贯很谨严，人人赖账号险些不行能出成绩。并且攻打手段异常隐藏：这些歹意代码颠末重度杂，还哄骗大批空格奇妙隐蔽，在 GitHub 代码张望器里，肉眼险些无奈发现异样。本文作家亲历了本身保护 8 年的着名户口源名目 Neutralinojs 遭受歹意攻打，且他的阅历并非个例，而是一个典范旌旗灯号：供给链攻打曾经从“攻打代码”，演化为“攻打信托关联”。实质大略是：

顾念到这条音讯，我全部人间接懵了。

要是您亦然开垦者，那么这大米事件齐全有能够产生在您身上。

按照 OSM 的陈诉 + 我的阐发，终极论断如下：

攻打产生在 3 月 2 日很短一段时光内乱；

只要 Neutralinojs 构造下的 4 个堆栈被强迫推送、改动汗青 Git 提交，其余堆栈宁静；

全部 GitHub 刊行版跟 NPM 包王人是清洁的；

只要在 3 月 2–5 日之间 pull 代码的人能够中招；

攻打泉源来人人朝鲜，歹意代码会连贯 C2（批示管制）办事器（摆设在 Vercel，已被移除）。在我顾念来，OpenClaw 的插件生态计划异常“伤害” —— 竟然把原始体系下令具有 Markdown 文献里来扩大 AI 才能！

这一次，是 OSM 团队拯救了 Neutralinojs。

简略来讲读，它的定位便是：Electron 的轻量替换计划。

随后，我在他的小我私家 GitHub 堆栈里也找到了同款歹意 JavaScript 载荷——原形毕露：是他的账号被霸占了，没有是我的 Token 或账号泄漏。

2026 年，数字天下的每一步掌握王人要警惕。

以上这些的焦点目的只要一个：阻拦歹意代码继承分散。

给全部户口源保护者的宁静倡议

按照 OSM 的讲读法，这类跨平台、基于 JavaScript、哄骗区块链获得 C2 地方的供给链攻打正在倏地激增，用 Linux / Mac 也并没有代表 100% 宁静