↓推薦關注↓
1 月 20 日,據嗶哩嗶哩(以下簡稱“B 站”)網友 @老變態了了了 釋出的訊息,B 站某程式設計師利用職位之便,在離職後在 B 站網頁版中故意投放惡意程式碼,這段惡意程式碼透過這名程式設計師 (真實姓名為倪某成) 自己註冊的域名載入。
InfoQ 就此事詢問了 B 站,暫未得到官方回應。截至發稿時,該惡意程式碼已被刪除。
知情人員透露,此事並非存在技術上的漏洞,屬於個人濫用職權進行駭客行為。目前,B 站已第一時間進行處理,開除該員工,並與相關監管部門同步情況。
據公開資訊透露,倪某成在嗶哩嗶哩(B 站)網頁端的 DanmakuX 彈幕引擎專案中擔任了開發和最佳化的關鍵角色。
DanmakuX 專案地址:https://github.com/topics/danmaku?l=typescript
DanmakuX 是一個開源的 Android 彈幕引擎,主要用於在影片直播中顯示彈幕。DanmakuX 由 Bilibili 開發,旨在提供一個高效、靈活的彈幕渲染引擎,支援多種彈幕格式和顯示效果。其核心特性包括:
-
高效繪製:DanmakuX 支援多種繪製方式(如 View、SurfaceView、TextureView),能夠高效地解析和繪製彈幕;
-
多核最佳化:該引擎進行了多核最佳化,具有高效的預快取機制,能夠在多核裝置上提供更好的效能;
-
自定義功能:支援多種顯示效果選項即時切換,包括換行彈幕、運動彈幕等,並且支援自定義字型和多種彈幕引數設定;
-
相容性:DanmakuX 能夠相容多種影片控制元件,如 ijkPlayer,並且已被多個應用使用,如優酷土豆、開迅影片、鬥魚 TV 等。
然而,他涉嫌在一個頁面中引入了一段惡意程式碼,其目的僅僅是為了針對並攻擊特定的網站使用者。目前推測,這一行為可能源於倪某成與站內其他使用者發生爭執後產生的個人恩怨。為了報復,他利用自己的技術許可權,在系統中植入了這段有害程式碼。
那麼,倪某成引入這段惡意程式碼帶來的結果是什麼?結果就是造成了某位 B 站使用者在使用 B 站網頁端觀看影片時跳轉到顯示“你的賬號被封禁!”的介面 。
這樣一來,這位以為自己賬戶被封禁的使用者坐不住了,向 B 站客服發訊息問詢賬戶情況。
在這名被封賬號的使用者與 B 站客服溝通中我們獲得到的資訊是:因為這位 B 站內部員工(倪某成)的原因,其中一名使用者在 B 站賬戶上所有的動態稿件全部被刪除(截至發稿前,該名使用者主頁上的動態已恢復顯示)。
但實際上,這位 B 站內部員工(倪某成)並沒有直接關閉使用者的賬號,使用者賬號也依然處於活躍狀態,所見的提示更像是倪某成在使用者介面上弄的一點小把戲。
據 @羅德蘭屑羅素在 B 站釋出的動態爆料,這位 B 站內部員工(倪某成)曾發私信給他稱:“看你身份證做什麼,廢掉你賬號不就行了,你既然喜歡在網路找存在感,那我也只能順從你了。”
截圖來源:B 站使用者 @羅德蘭屑羅素髮布的動態
甚至還威脅說:“到時候別向我求饒,我整你可不是口嗨的,你再仔細想想我為啥一直強調我的工作就知道了~。”
截圖來源:B 站使用者 @羅德蘭屑羅素髮布的動態
圖片來源:bilibili 百度貼吧
截圖來源:B 站使用者 @羅德蘭屑羅素髮布的動態
此外,這名使用者還透露,此 B 站內部員工(倪某成)還曾經因為個人情緒原因將自己的一位網名為黃金鼠塔的朋友賬號“開盒”。
圖片來源:bilibili 百度貼吧
在網路上流出的群聊天記錄資訊中透露,倪某成的行為就是利用內部許可權將與其在遊戲中產生矛盾的使用者個人資訊批漏出來,並封禁了涉事使用者的賬號。
目前流傳的截圖顯示倪某成載入的惡意程式碼透過 hxxps://www.jakobzhao.online/main.js 引入,據藍點網檢查該域名後發現,其註冊時間是 1 月 13 日且當前處於無 DNS 解析狀態。
而網友釋出的影片最早是 1 月 12 日,也就是倪某成發起攻擊的時間應該要更早,所以是否還使用其他域名進行攻擊目前還不清楚,但倪某成自己的個人部落格地址 hxxps://niyuancheng.top/ 目前也同樣處於 DNS 無解析狀態,此前是可以正常訪問的,這兩件事應該也存在直接關聯。
以上情況只會在 Web 端進行復現。攻擊原理為此“員工”利用自己許可權推送程式碼,在頁面跨域加入自己私人站點的 js 指令碼。所有使用 Web 端使用者都會載入這個程式碼,而攻擊者讀取使用者資訊對指定使用者進行攻擊。
第二百八十六條【破壞計算機資訊系統罪(刑法第 286 條)】 違反國家規定,對計算機資訊系統功能進行刪除、修改、增加、干擾,造成計算機資訊系統不能正常執行,後果嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
據 @老變態了了了 釋出的影片,接到使用者反饋後,B 站第一時間進行了調查,內部非常重視併成立了專門的調查小組,現在已經將事情完全查清楚。據 B 站稱,事情的事實是賬號被封禁是 B 站內部某位員工違規操作導致的,他的行為已經觸及到了 B 站員工行為紅線,目前 B 站已經開除了這名員工。
B 站並未遭受來自外部駭客利用漏洞的攻擊,反而是內部員工倪某成將惡意程式碼悄然植入。這從某種程度表明,B 站在程式碼稽核及釋出流程上存在一定的安全隱患。按照常規流程,新程式碼推送至生產環境應歷經嚴格的稽核與複核環節。
目前,B 站已清除該惡意程式碼,建議使用者採取進一步措施,例如清理瀏覽器快取及刪除 Cookies 等資訊,以確保徹底消除倪某成植入的這段 js 程式碼所帶來的風險。
此次 B 站內部員工投毒程式碼事件引發了輿論的軒然大波。在知乎平臺上,一條“如何看待 2025 年 1 月 B 站員工人肉使用者並刪除使用者影片事件?”貼子下方,ID 名為 Nauitas 的知乎使用者回覆稱:
“人肉不人肉根本不是重點,重點是這麼大一個上市公司,一個 00 後剛入職沒多久的就有隨便修改生產環境程式碼的許可權,甚至可以說是生產環境裡最重要的跟使用者直接互動的前端介面程式碼。這次搞的太過分抓到了,那之前搞的不過分的呢?他們所有的軟體程式碼裡到底埋了多少雷?有多少暗中搞事情的後門?
強烈建議所有使用者從現在開始立刻停用賬戶,停用 App,提取出所有餘額,直接預設自己 B 站賬號所有個人資訊,歷史記錄,聊天記錄,甚至裝過 B 站 App 的手機內所有資料都早就已經全部洩露,來進行進一步應對以減少損失。”
還有人認為,B 站的內部管理可能有問題,可能沒有程式碼審查或程式碼審查漏下了,導致惡意程式碼可以被輕易地放入正式版。
“如果前端被植入程式碼的話,攻擊者理論上是可以代替使用者操作的。包括但不限於代替使用者釋出評論彈幕、刪除使用者收藏等任何內容、檢視使用者未刪除的歷史記錄。如果是客戶端,甚至可以偷偷盜取使用者資料。(Windows 這種許可權控制機制和 沙盒機制 幾乎沒有的作業系統特別危險。) 看來軟體還得是開源的才好。然而網頁版……”
參考連結:
https://space.bilibili.com/349768022/upload/video
https://www.zhihu.com/question/9842359834/answer/81829950220
https://web.archive.org/web/20250115095222/https://niyuancheng.top/
– EOF –
關注「程式設計師的那些事」加星標,不錯過圈內事
點贊和在看就是最大的支援❤️