GoEdge “官方”投毒与供应链投毒恐有关及解决方案

Nyarime

在奶昔论坛上曾转载过54yt的一篇《供应链投毒后，我们的选择还剩下哪些》，于是昨天大半夜有许多GoEdge用户表示，自己部署的CDN会插入一段来自 https://cdn.jsdelivr.vip/jquery.min-3.7.0.js 的代码，其中内容不寒而栗：

jQuery解密内容
图片来源：https://www.nodeseek.com/post-138160-1

前言
从超哥（其开发者）写出GoEdge至今，版本更迭到v1.3.9。这套CDN系统被许多CDN商家采用，毕竟它开源又免费，却在今年4月被请去喝茶后，goedge.cn便重定向至goedge.cloud，而goedge.cn的北岸号被注销、转出，甚至whois主体发生变化。

1. 原实名信息：刘祥超
   
2. 原ICP北岸信息：刘祥超
   
3. 现实名信息：莫坤秀
   
4. 现ICP北岸信息：已注销
   
5. 而超哥在QQ群的最后消息为2024年5月20日。

复制代码

之后5月24日发布的包中则带有上文提到的 cdn.jsdelivr.vip 的内容于节点（edge-node）的二进制文件中，一直到今日发版的v1.4.1。

供应链关系
查了一下 cdn.jsdelivr.vip 的cname指向，猜测和方能那伙人是同一伙



关于做了什么，hostloc上面也有：https://hostloc.com/thread-1327962-1-1.html

可以说js代码跳h站就是这群人干的。

被卖了吗
有群友发现GoEdge v1.3.9的编译环境为 go1.21.10，与目前最新版的环境不同。故引发大家对GoEdge被出售的猜测。



而超哥用于销售商业版的淘宝店铺关闭，转而要客户前往 Telegram 找 @GoEdge 进行购买。据群友所描述，客服态度怠慢。



而唯一的联系方式就是Telegram的群组和客服，在v1.4.0发版时，特地强调了“过Q”的功能



而过Q是什么，想必不用多说了

临时发版
有群友进行二进制分析，发现edge-node v1.4.1版本二进制文件中存在上述恶意代码。但GoEdge客服在其Telegram群中表示“不信谣不传谣”后开始踢人



随后对v1.4.1重新编译，发布了无毒版本的GoEdge v1.4.1



由图可以发现，这段 https://cdn.jsdelivr.vip/jquery.min-3.7.0.js 的引用在新的版本已被去除。（在此建议作者发布时，写好MD5、SHA1、CSC32信息，以免导致大家误会）

修复业务
由于许多人在使用该产品的时候，时不时跳h站。若您是2024年5月24日之后安装的v1.3.9（或更高版本），请立即更新。虽然刚刚官方发了v1.4.1的修正版本，一旦信任崩塌就难以重建。这里提供一个可行的恢复方案。

重装主控
hosts 屏蔽 goedge.cloud 和 goedge.cn 防止程序更新

1. echo "127.0.0.1 goedge.cloud" | sudo tee -a /etc/hosts > /dev/null
   
2. echo "127.0.0.1 goedge.cn" | sudo tee -a /etc/hosts > /dev/null
   
3. cat /etc/hosts

复制代码

回退主控（edge-admin）版本至v1.3.9

1. # x86_64 (amd64)
   
2. edge-admin upgrade --url=https://dl.naixi.net/cdn/goedge/goedgecn/edge-admin-linux-amd64-plus-v1.3.9.zip
   
3. # aarch64 (arm64)
   
4. edge-admin upgrade --url=https://dl.naixi.net/cdn/goedge/goedgecn/edge-admin-linux-arm64-plus-v1.3.9.zip

复制代码

删除 edge-api/deploy 目录内的dge-node-linux-amd64-v1.3.9.zip和dge-node-linux-arm64-v1.3.9.zip文件，然后在目录下执行

1. # x86_64 (amd64)
   
2. wget -O edge-node-linux-amd64-v1.3.9.zip https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip
   
3. # aarch64 (arm64)
   
4. wget -O edge-node-linux-arm64-v1.3.9.zip https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-arm64-plus-v1.3.9.zip

复制代码

主控节点重装即可（一般到这步就修复完啦）

节点修复
若上述第4步主控节点重装过于麻烦，这边提供一键指令
适用于安装在/root/edge-node（arm节点请将amd64更改为arm64）

1. rm -rf /usr/local/goedge
   
2. cd /root/edge-node
   
3. curl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" --insecure -o edge-node-linux-amd64-plus.zip -C - -#
   
4. ./edge-node/bin/edge-node stop
   
5. rm -rf ./edge-node/data
   
6. rm -rf ./edge-node/bin
   
7. rm -rf  /opt/cache
   
8. unzip -o edge-node-linux-amd64-plus.zip
   
9. ./edge-node/bin/edge-node restart
   
10. rm -rf *.zip

复制代码

适用于安装在/usr/local/goedge（arm节点请将amd64更改为arm64）

1. rm -rf /root/edge-node
   
2. cd /usr/local/goedge
   
3. curl -L "https://dl.naixi.net/cdn/goedge/goedgecn/edge-node-linux-amd64-plus-v1.3.9.zip" --insecure -o edge-node-linux-amd64-plus.zip -C - -#
   
4. ./edge-node/bin/edge-node stop
   
5. rm -rf ./edge-node/data
   
6. rm -rf ./edge-node/bin
   
7. rm -rf  /opt/cache
   
8. unzip -o edge-node-linux-amd64-plus.zip
   
9. ./edge-node/bin/edge-node restart
   
10. rm -rf *.zip

复制代码

结语
虽然GoEdge已更换主体，且官方已经发布了不带毒的版本。但我们仍要知道供应链投毒的危害。即使是免费、开源的项目也有可能成为坏项目，毕竟世界上没有免费的午餐。

希盘上的GoEdge存档资源： https://dl.naixi.net/cdn/goedge/goedgecn/

（dl.naixi.net上的goedgecn文件夹为超哥失联前所构建的最后版本，转自DigitalVirt的备份，即v1.3.9。而历史版本可以在DigitalVirt小老板的Google Drive存档找到：https://drive.google.com/drive/folders/1-2JbKiNy-MWF7RLnIUIRXiT-AE37rUDx
本文转载自奶昔论坛：https://bbs.naixi.net/thread-110-1-1.html

沉默的鱼

GoEdge作者还是良心的

uzz

雪奶的白子

卡尔

不错，绑定！

babi

支持一波

status

consh

不懂就问，方能和之前也是投毒的紫田有所关系吗，还是只是两家如出一辙的垃圾公司

imtoken

top之 。。。。。。。。。。。。。。

babi

之前看别人说作者出国了，还是作者在更新，没想到…

你好，再见

这个是干啥的，没听过膜拜大佬，围观