fkshiyuxi

该灰产公司已经收购了下面开源项目并注入恶意代码，使用前请评估，尤其在企业内使用

lnmp、Oneinstack、alist、hutool，

以alist为例回答几个问题：

• 0.出了什么事情
  • 项目被垃圾公司收购，且只有一个人知道，其他项目成员不知道，插入大量垃圾广告，收集隐私信息！，请停止使用！
  • 另，该公司招聘大量渗透相关人员！
• 1.该项目还能用吗
  • 不能，社区层面，已经被煞笔公司收购打广告了
  • 技术层面，所有api token煞笔公司全部可见，你也不想他拿着你密码偷偷xxx吧，
    • 现在已经在收集你部署服务器配置信息
    • 而且代码写的非常非常非常烂，不怕坏人，就怕蠢人灵机一动，搞不成后面出什么乱七八糟bug
  • 审核层面，参考宝塔，所有在中国境内公司全部要备案，软件也是，所以后绑定手机号不可避免，否则就是违背中国备案原则和法律，
    • 为什么以前可以，以为以前非盈利，非公司
• 2.怎么办
  • 3.40及其以前版本可能是安全的，但是不要获取新的token，授权尽早删除，下面回复迁移下面
  • OpenListTeam/OpenList 干净社区维护版本地址,大部分原始贡献者都迁移到这里面了，可能恢复要段时间
  • 其他
    • 注意：最保险在已经挂载过的云盘里面把那个授权删除，以前那个授权依赖之前后端，那个后端也给狗了
      • 就算其他，这个垃圾公司地址以后也不可能活着了，露头秒
      • 平时挂探针机器或者肉鸡可以用起来了，这个公司这个玩意可以用来练练手压力测试了
    • https://github.com/AlistGo/alist/issues/8649
    • https://github.com/AlistGo/alist/issues/8654 （这个本来是发布社区版本issue，被包皮们删除了，这个已经烂了，还不允许社区宣传？还删issue？负责删的程序员怕不是以为能在这个公司呆一辈子）
    • 本质上是信任危机和能力危机，社区不会维护，黑产公司招的都是sb
  • 另外就算你用这个公司的
    • 后面也会有大量不定期对他们进行压力测试，不要小看探针佬
• 3.应该骂谁
  • 1.贵州不够科技有限公司，这个公司已经干过不止一次这种事情了 地址：贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号 法人：师玉玺（名下另有贵州穹界盾构信息安全有限公司） 参保人数：4（23年年报数据） 官方微信号：bugotech 联系电话：18096054816（来源爱企查，存疑，和qq邮箱相同但确实是个贵阳归属电话） 联系邮箱：[[18096054816@qq.com](mailto:18096054816@qq.com)](mailto:18096054816@qq.com)（来源爱企查，反查到有好几个贵州的公司也是这个联系邮箱） 注册资本：50万 实缴未知 煞笔官网 https://www.bugotech.com/ 不要ddos，但是可以压力测试，另外可以举报诈骗等，怎么搞掉煞笔备案国内机器放不了，可以研究一下
  • 2.奸夫淫妇师玉玺、陈霞，符合刻板印象
    • 不排除盗用身份证的，但是目前看来不是
  • 3.贵州
    • 贵州这么多年没发展起来是有道理的，这都是什么恶心人的公司
      • 不要反驳，反驳就是你对
      • 可以不监管，那如果硬监管，监管不力就要负责，知识产权搞的乱七八糟
    • 另外可以拨打0851-12345举报【贵州不够科技有限公司】，举报下面内容
      • 消防不达标、
      • 虚假注册地址、贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
        • 注意：不要线下恐吓，不要发传单，不要贴广告，不要再楼层上下和管理处发传单，
        • 此外，如果这个地址没人，那就更好办了，举报虚假注册地址，工商许可就会列为异常经营目录
    • 可以拨打0851-110举报【贵州不够科技有限公司】，举报下面内容
      • 非法使用境外网络，非法搭建境外节点，非法使用境外通讯工具
      • 应用程序不备案、网站不备案
      • 侵犯开源知识产权
      • 偷税漏税（登记4人纳税，实际超过四人）、
    • 如果网站正在备案
      • 等后面如果网站能备案完成，再举报非法发布敏感信息
      • 如果不备案，那就更好举报了，
      • 另外浏览器firefox和chrome等也是有举报入口的，直接浏览器级别abuse，大家一起举报一下
      • 另外hutool商标正在申请，懂商标和版权法的可以提出异议一下，包括后面这个商标
  • 4.原作者
    • 暂不评论，首先还是感谢之前开源的
      • 但是大大方方卖也没什么问题,rustdesk、overleaf等都有商业模式，该花钱花钱，一点问题没有，卖给这种嫖客就不道德了，还偷偷摸摸，但是事已至此不要骚扰作者了，让他好好休息吧，毕竟之前白嫖这么长时间，如果被黑产控制，我们也可以社区援助
  • 5.新招go程序员
    • 首先水平不怎么样，其次挺没底线，用这个项目应该也有大公司要职hr或者程序员吧，可以拉黑这些玩意，稍后这里整理个list看看哪些人
• 另，如果你觉得我没素质，那你说的对
• 另，不要尝试删除，删一发二，全平台，问问你们程序员杨辉三角知道吧，如果删按照那个新增，不过神仙osNsme，大概率不知道
• 另，不排除是黑灰产恶意收购，这种事情还挺多的
• 另，不要相信xhofe及其所有平台账号，包括授权应用程序等，大概率同步收购，不排除原作者已经被缅北黑灰产业控制

有富哥钱多的可以给他们买个保险，玻璃房加个人脸识别，而且在商业区，出门出车祸就不好了，作者是上岸了，牛马们可不一定