开源项目现“内鬼”:OpenMandriva 遭恶意破坏,十年代码被删

Linux 发行版 OpenMandriva 近日发布官方声明,披露了一起严重的内部恶意破坏事件。事件起因于项目核心成员 Davide Beatrici(知名开源项目 Mumble 贡献者)因对其朋友的不当行为受到处理而心怀不满。在退出项目后,Davide 滥用其保留的管理员权限对基础设施进行了报复性攻击。他不仅删除了团队在 GitHub 上维护的部分核心代码仓库,导致大量工作成果丢失,还恶意利用包管理机制发布了一个空软件包,强制将所有 GNOME 和 Cosmic 桌面组件标记为“废弃”。这一攻击行为极有可能导致用户在更新系统时出现桌面环境崩溃或关键组件被卸载,属于典型的供应链内部投毒。OpenMandriva 团队目前正在紧急恢复代码并修复软件仓库,虽然该行为已涉嫌构成刑事犯罪,但项目方决定暂不采取法律行动,而是选择公开披露以警示社区。团队承认,此前将基础设施迁移至个人私有实例的决策存在重大失误。

事件分析

此次事件突显了开源项目在供应链安全中面临的“内部人威胁”风险,其破坏力往往比外部攻击更为致命。技术层面上,攻击者利用包管理系统中的“Obsoletes”机制将关键依赖进行“武器化”处理,展示了基于信任关系的软件分发系统在面对恶意管理员时的脆弱性。从治理架构来看,OpenMandriva 将核心资产从 GitHub 迁移至贡献者私有实例的行为,导致了权限管理的集中化和单点故障风险。这警示开源项目必须建立严格的权限回收流程和基础设施所有权分离机制,避免因人员变动引发灾难性后果。此外,项目方放弃法律追责虽体现了社区宽容,但也可能变相降低了针对开源基础设施恶意破坏的违规成本。

💡 核心观点:开源供应链的“人肉防火墙”往往比技术防线更难攻克,包管理机制的武器化警示单一信任源的致命风险。

原文链接:Hacker News

C code80.ai · AI 编码 API 聚合 Claude / GPT 多模型统一接入,稳定不限速,按量计费,几行配置接入 Claude Code。 了解一下 ›

抢沙发

评论前必须登录!

立即登录   注册