严重！alist已被卖投毒！ 还是熟悉的贵州某公司

dole

原开发者Xhofe已经不在讨论群里，在价格中的技术支持已经被替换到投毒者，请注意！

https://linux.do/t/topic/714827/4

妈蛋，半个月前我拉docker，还奇怪以前用的xhofe怎么换了个alist666这么随意的名字，然后x86怎么也跑不起来，原来是镜像地址被换了。（https://t.me/zrj96/30658）

似乎确认alist被卖了，悄无声息，在开源代码里塞私货。
alist首页技术支持为贵州某公司，贵州某公司有个 https://hutool.cn/ 的项目，也是被接手的项目，网站首页技术支持挂了个oneinstack，之前lnmp和oneinstack也是被贵州某公司拿下，难道是一伙人？
我头大了，有能力的大佬可以挖挖。（https://t.me/zrj96/30659）

经典军哥剧情 MJJ注意了 然后顺便提醒下极光面板有漏洞 记得去更新下

dole

大佬的全备份 快fork
https://github.com/BlueSkyXN-Backup/alist/releases/tag/v3.40.0

dole

各个网盘如何取消Alist授权（https://forum.naixi.net/thread-4387-1-1.html）
115网盘取消授权：https://115.com/?mode=device_manage
阿里云盘取消授权：设置–>隐私设置—>授权管理
百度云盘取消授权：个人中心-账户管理-授权管理-alist https://passport.baidu.com/accountbind)
onedrive个人版：https://account.live.com/consent/Manage
联通云盘取消授权： - 在网页查询登录账号 - 以后建议 按照 教程抓包登录
dropbox取消授权：https://www.dropbox.com/account/connected_apps找到alist授权点Disconnect
onedrive E5取消授权：https://entra.microsoft.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade/quickStartType~/null/sourceType/Microsoft_AAD_IAM?Microsoft_AAD_IAM_legacyAADRedirect=true
点击所有应用程序，删除所有alist相关程序即可

坚果云解绑：左上角三横杠 - 设置 - 第三方应用管理 - 撤销授权
一、撤回 OAuth 授权访问权限（用户授权部分）
Google 撤销已授权的应用
打开授权管理页面：https://myaccount.google.com/permissions
找到你要撤销的应用（例如你自己开发的 OAuth 应用或第三方应用）
点击应用 → 点击 “移除访问权限”
Microsoft 撤销已授权的应用
打开授权管理页面：登录你的 Microsoft 帐户
找到你要撤销权限的应用
点击 “编辑” 或 “移除这些权限” 即可
二、撤回 API 客户端 ID 和密钥（开发者后台）
Google Cloud Console
打开 Google Cloud 控制台：https://console.cloud.google.com/apis/credentials
找到你创建的 OAuth 2.0 客户端 ID 和密钥
点击删除图标（垃圾桶）或选择“禁用”按钮来撤销
如需彻底作废密钥，建议直接点击 删除。

doruison

yrj 发表于 2025-6-11 08:41
开源作者很难坚持住为爱发电，所以卖项目也是情有可原，要怪只能怪法律的不完善。 ...

法律再完善了又如何，哪里不合适？？？
开源项目账号不能卖？？？不服气你自己fork
开源项目不能有广告？？？
目前来看开发者的行为在任何正常国家都找不到违法的地方。

buste

只能说以后国内的开源软件也得绕道走了，真的玩不起，存储这种东西投毒造成的伤害可太大了，真的无语

kk321520

https://china.usembassy-china.org.cn/zh/targeting-a-major-backer-of-virtual-currency-investment-scams/
https://www.ic3.gov/CSA/2025/250529.pdf
美国对一家设在菲律宾的公司Funnull Technology Inc.（又名方能CDN）及其管理者Liu Lizhi（刘理志）实施制裁，该公司为虚拟货币投资诈骗提供关键计算机基础设施，刘理志为中国公民。虚拟货币投资诈骗活动给美国民众造成了严重的经济损失。此次制裁对象与美国受害者所报告的超过2亿美元损失直接相关，每位受害者的平均损失超过15万美元。

有点儿意思

贵州不够科技有限公司
地址：贵州省贵阳市观山湖区长岭街道林城路贵阳国际金融中心一期商务区项目5号楼11层24号
法人：师玉玺（名下另有贵州穹界盾构信息安全有限公司）
参保人数：4（23年年报数据）
官方微信号：bugotech
联系电话：18096054816（来源爱企查，存疑，和qq邮箱相同但确实是个贵阳归属电话）
联系邮箱：[email protected]（来源爱企查，反查到有好几个贵州的公司也是这个联系邮箱）
注册资本：50万 实缴未知

另：该公司与hutool事件相关联
再另：D指导指出，在中国法律框架下移除提交权限可能涉及侵犯著作权中的修改权；移除代码署名设计侵犯著作权中的署名权。建议贡献者（尤其是有钱有闲的）可以盯着代码仓库出现上述情况直接起诉，不蒸馒头争口气，给该公司添添堵。
再再另：试图提交上传用户信息代码的alist666账号，于2024.12.07修改了readme，可以推测项目从此时就已经卖出去了，3.41.0及后续版本预编译均在该时间节点之后。即被收购前的最后一个版本是3.40.0。

silence

这个作者也是出生，这项目有好多人贡献了代码，他就这样卖了，让别人找谁说理去

trips

这不就是那个半夜跳广告的统计工具那团活的吗？

dole

收购目的推测补充：

NVMe

gdtv 发表于 2025-6-11 14:47
This issue has been deleted.

收集用戶信息，被抓實錘，發帖人嘲笑吐槽。

mha

**，这家啥背景啊，妈的。

Typeboom

中国特色

b66667777

阿弥陀佛  

gamekid

贵州那个就是某网络安全公司的壳

ezezz

极光面板有啥漏洞 咋更新 都没人维护了

dole

ezezz 发表于 2025-6-11 00:42
极光面板有啥漏洞 咋更新 都没人维护了

极光面板的用户验证有重大漏洞，请立即修改docker-compose.yml的`SECREY_KEY: 'AuroraAdminPanel321'`，将值改为随机生成的密钥，密钥可以用命令`openssl rand -base64 32 | tr -d '=' | tr '+/' '-_'`或者使用随机UUID，为保证更强的安全性，你可以定期更换该key（https://t.me/aurora_admin_panel/62265）

好了，运行一下一键脚本就会自动更换了（https://t.me/aurora_admin_panel/62301）

ezezz

dole 发表于 2025-6-11 00:43
极光面板的用户验证有重大漏洞，请立即修改docker-compose.yml的`SECREY_KEY: 'AuroraAdminPanel321'`， ...

感谢 我看看

dole

更多图图补充







Alist文档中的下载链接被修改
目前最新版的docker也被修改过

联系不上开发者，Alist官方TG群已经闹开了

另外alist的桌面版程序也被打包出售了

某TG群的最新消息：Alist所有权疑似变动，注意代码风险
中文文档内加入了微信链接等非技术内容，官网与下载地址被更换
注：新更新的腾讯云cos链接，被腾讯云以文件非法为由封禁

不知道大家知不知道GOedge，一个开源CDN程序
也是作者超哥把项目卖掉后被新开发者投毒做跳转
怎么喜欢的程序一个接着一个投毒，唉
希望只是一场乌龙 t.me/rsakuraban/442）