慢讯:知名 Web 集成环境军哥版 LNMP 一键安装包投毒事件,疑似为官方行为?

浏览: 1,259 次浏览 作者: 去年夏天 分类: Ubuntu,技术文章,资讯 发布时间: 2023-09-25 10:39

LNMP一键安装包(Lnmp.org 军哥版)近日,被安恒信息CERT发现,在 lnmp.org
官方网站下载的安装包内被植入了恶意程序。恶意程序会针对在lnmp.org官网下载并部署LNMP的RedHat系统用户进行攻击。
随着事件逐步发酵,更多信息被发掘出来,很多网友疑似本次供应链投毒为新官方的自导自演?

(图片来源 安恒信息CERT)


疑点一:页脚突然出现的公司信息

根据 8月31日的archive快照,网站页脚是这样的,这样的页脚状态持续了起码超过5年了。

但最近官网页脚突然出现了公司金华市矜贵网络科技有限公司的信息

疑点二:主站突然换了服务器

根据DNS历史信息查询,lnmp.org从2016年开始使用168.235.87.4这个IP的,但是在今年8月17号解析IP突然换成了47.254.56.155的阿里云

疑点三:根据ICP备案查询,备案主体同时运营着WDCP面板

9-13号网站域名被金华市矜贵网络科技有限公司备案,该备案主体同时也是另一个面板WDCP的备案主体,同时这个公司还备案了一个 MAC 破解软件网站。

疑点四:这么大的事情无任何通知

截至目前 LNMP 一键安装包的官网和论坛都没有挂上安全提示,但是下载文件 MD5 发现已经变了,说明安装包已经修改,但是无任何通知。

就很奇怪,8月份网站刚被卖给新公司,马上就出现供应链投毒的情况,给人感觉是新公司所作所为。
但即使被收购了,做这种低劣的手段可能性也不大吧,
因为投毒的动作并不是很隐秘。居然是直接另加了一个lnmp.sh文件,而且主页上的MD5也没改
要知道LNMP一直是每年六一更新,整个投毒操作过于明显,很快就会被发现。

一条评论
  • 打药科技

    2023-12-12 21:54

    直接手动编译。。。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据