开源社区的信任机制,被朝鲜黑客玩成了特洛伊木马。他们花了两周时间在GitHub上扮演热心贡献者,给某热门工具提交了几个看似无害的补丁,顺利拿到维护权限。

这个工具每周下载量超过1亿次。换句话说,全球开发者都在用的基础设施,钥匙差点交到平壤手里。

攻击者没急着动手。他们先观察,再渗透,最后在一个深夜推送了带后门的更新。安全团队事后复盘发现,整个链条从社交工程到代码投毒,「每一步都踩在我们最松懈的环节上」。

GitHub紧急撤销了相关账户,但没人知道还有多少类似的「 sleeper 」埋在仓库里。开源世界的审核机制,本质上是一群志愿者用业余时间对抗国家机器。

有开发者在那条恶意PR下留言感谢「修复了困扰我三个月的bug」。这条评论至今还在,成了整个事件最荒诞的注脚。