Linux 发行版 OpenMandriva 近日发布官方声明,披露了一起严重的内部恶意破坏事件。事件起因于项目核心成员 Davide Beatrici(知名开源项目 Mumble 贡献者)因对其朋友的不当行为受到处理而心怀不满。在退出项目后,Davide 滥用其保留的管理员权限对基础设施进行了报复性攻击。他不仅删除了团队在 GitHub 上维护的部分核心代码仓库,导致大量工作成果丢失,还恶意利用包管理机制发布了一个空软件包,强制将所有 GNOME 和 Cosmic 桌面组件标记为“废弃”。这一攻击行为极有可能导致用户在更新系统时出现桌面环境崩溃或关键组件被卸载,属于典型的供应链内部投毒。OpenMandriva 团队目前正在紧急恢复代码并修复软件仓库,虽然该行为已涉嫌构成刑事犯罪,但项目方决定暂不采取法律行动,而是选择公开披露以警示社区。团队承认,此前将基础设施迁移至个人私有实例的决策存在重大失误。
事件分析
💡 核心观点:开源供应链的“人肉防火墙”往往比技术防线更难攻克,包管理机制的武器化警示单一信任源的致命风险。
原文链接:Hacker News





