基本情况
2026年6月24日，我中心在网络威胁主动监测中发现，国内广泛使用的开源前端社会化分享插件bShare（以下简称“该插件”）的原官方服务域名被恶意抢注。攻击者通过篡改插件核心脚本，构建“上游投毒—下游全域感染”的供应链攻击链条，对引用该插件的网站实施隐蔽暗链植入与非法导流。经初步资产测绘，国内约有1.5万个网站引用该组件，覆盖党政机关、教育、科研、新闻媒体、医疗、金融、能源、工业等重要领域，存在大范围风险隐患。
值得高度警惕的是，该插件并非首次被恶意利用。2024年12月，我中心曾追溯到一起针对关键信息基础设施单位的定向投毒事件，攻击者同样通过劫持该插件的脚本分发通道，在恶意脚本中内置了多个重要行业单位的出口IP地址，仅在判定访问者来源IP匹配特定行业单位时才会触发弹窗投毒，最终向目标单位人员投放钓鱼页面和远控木马。本次事件表明，同一插件在时隔一年多后再次被黑灰产组织以更加隐蔽的手段控制，用于世界杯热点包装下的黄赌毒暗链导流，且攻击方设置了分时、分地域触发等反监测策略，手法成熟、意图明确，进一步凸显了第三方开源组件失管失控所带来的持续且不可控的安全威胁。

攻击路径分析
攻击入口
该插件原官方服务域名因到期失效后被攻击者抢注，攻击者由此获得对该域名解析内容及脚本文件的完全控制权。由于大量网站系通过动态跨域引用该域名下的JavaScript文件来加载分享功能，并未对脚本内容做本地化托管或完整性校验，导致攻击者无需入侵任何目标网站服务器，仅通过修改被劫持域名下的单一脚本文件，即可对全网所有引用站点实施批量化恶意代码注入，构成典型的“供应链上游污染”攻击。
恶意代码注入逻辑
攻击者在被劫持的插件脚本中植入多层混淆的动态暗链生成及跳转逻辑，并将恶意代码与插件原生的分享功能深度耦合。正常用户使用分享功能时，页面行为无任何异常，恶意逻辑仅在特定条件触发时静默执行，不会引发功能报错或界面变化。因此，常规运维巡检、功能测试和前端安全扫描极难发现代码异常。
攻击者反监测规避策略
攻击者为规避安全监测，在恶意脚本中实现了环境触发控制。经我中心分析发现恶意脚本在日间出现30%的随机概率触发跳转，夜间100%触发恶意跳转，屏蔽北京地区用户跳转行为。近期跳转页面以世界杯相关的博彩为主，跳转至非法站点。
域名注册发生变更
bshare.cn域名历史注册权掌握在擘纳公司，2024年11月后不再归属于原公司，近期变更为某国外个人归属。

核心风险危害研判
安全合规风险
引用该插件的网站在用户不知情的情况下为色情、赌博等非法内容提供了传播渠道。
攻击升级风险
过期域名的权属可变、代码无校验的风险，决定了其一旦失控，攻击者可在任何时间将恶意载荷从“非法暗链”升级为“数据窃取”、“凭证钓鱼”、“漏洞利用”、“后门植入”。攻击面从网站扩展至用户终端、内网系统和核心数据，危害边界不可控。
长期潜伏风险
开源组件具有“即引即用、多处复用”的特点，影响面极易呈指数级蔓延。大量网站及企事业单位门户，尤其是历史较久的页面，长期未对引用资源进行清理和审计，极易在无感知情况下沦陷。


风险处置意见与建议
本事件对网站运营者的核心风险在于：历史页面长期引用失管第三方脚本，站点即使未被入侵，也可能在搜索抓取或特定访问条件下被黑产导流。处置建议如下:
立即开展脚本引用排查
全面排查网站前端代码及内容管理系统中是否引用bShare相关域名（如已知的bshare.cn等）的脚本资源，确认受影响的页面范围。建议优先排查首页、文章详情页等流量较大的页面，以及网站历史版本中遗留的冗余代码。
下线或隔离非必要社交分享功能
如无必要继续使用分享插件，应立即下线或注释相关引用代码，切断风险加载链。若业务仍需使用分享功能，应将该插件的JavaScript、CSS等静态资源下载至本地服务器，实现本地化托管，彻底剥离对第三方域名的外部依赖。
启用资源完整性校验（SRI）
对确需跨域引用的第三方资源，必须在引用标签中添加Subresource Integrity (SRI) 属性，并设置固定的加密哈希值，确保浏览器仅加载执行与预期哈希匹配的脚本，任何篡改都将导致脚本加载失败，从机制上防止供应链投毒。
清理缓存与搜索引擎快照
在完成代码清除或本地化替换后，立即刷新全站CDN缓存，确保所有边缘节点下发最新版本的页面。同时通过搜索引擎站长平台提交清理或更新请求，促使搜索引擎尽快重新抓取，移除已被污染的搜索结果快照，防止用户通过搜索引擎跳转至仍带恶意代码的缓存页面。
强化第三方组件安全管理制度
将网站所引用的所有第三方JavaScript库、字体、CSS框架等纳入资产台账，定期检查引用域名有效性和解析状态，重点核查项目是否活跃、域名是否可能过期被抢注、是否存在已知安全漏洞。建立第三方资源引入安全评估和审批流程，从源头降低供应链攻击风险。
附录一 IOC