探寻 Staticfile、BootCDN、Polyfill 投毒的始作俑者
自上个月研究人员发现 Staticfile、BootCDN、Polyfill 投毒事件是同一个实体在背后操作之后。近日有一名博主通过备案和企业信息梳理时间线发现了更多的线索,这些线索似乎呼应了此前的发现。
这名博主发现为这些CDN域名提供备案的一系列公司都可以通过股东或实际控制人关联起来,其中包括51[.]La站点统计平台的运营商郑州紫田网络科技有限公司。该博主今日在V2EX发帖称自从其发布该帖之后受到了威胁,本频道无法验证威胁是否来自于本文中涉事的某一方。
部分摘要:
2023年4月份,BootCDN的三个关联域名 bootcdn[.]net,bootcdn[.]cn,bootcss[.]com ICP备案变更为郑州紫田网络科技有限公司,同时域名注册商也从阿里云转入腾讯云,由此揭幕了噩梦的来临。
2023年6月份,开始有用户陆续发现部分静态资源内存在投毒行为。
两个关联域名staticfile[.]org和staticfile[.]net被转入河南泉磐网络科技有限公司。而先前BootCDN所转入的公司名称为郑州紫田网络科技有限公司,两者同为河南省郑州市的相同类型公司。而先前Ze-Zheng Wu所发现的几个域名由统一组织控制高度符合。通过天眼查查询可知紫田科技旗下知名的一个产品为51[.]La站点统计平台。通过Bing搜索不难发现在2023年集中出现大量使用该统计平台遇到劫持的案例。
通过天眼查对紫田科技股东徐征进行查询,发现其曾担任郑州帝恩爱斯网络科技有限公司法定代表人及高管,也曾担任河南云打包网络科技有限公司高管和股东。
而Staticfile的域名注册商商中在线也与紫田科技关联的公司存在着说不清道不明的关系。
自此可以确定这两个原本由不同云厂商所赞助的静态资源加速服务已经被同一组织所控制,与上述Ze-Zheng Wu的调查一致。
看似似乎这只是一个名不见经传的小公司所为,然而这只不过是挡在云层前的迷雾。
通过查阅可以发现郑州紫田网络科技有限公司总经理李跃磊同时担任河南亿恩科技股份有限公司股东。
故事到这里似乎就结束了,然而还有收购polyfill服务的那家公司Funnull需要进行调查。通过查询域名注册和备案信息可以发现背后的公司为南京妙彩文化传播有限公司。
这家公司的主营业务则是为博彩网站提供国内优化CDN服务,与上述的劫持行为不谋而合。
声明:本频道仅对上述信息进行了初步审查。原文快照,版权归原作者所有。