作者｜冬梅

B 站離職員工向代碼投毒

封禁用戶賬號

1 月 20 日，據嗶哩嗶哩（以下簡稱“B 站”）網友 @老變態了了了 發布的消息，B 站某程序員利用職位之便，在離職后在 B 站網頁版中故意投放惡意代碼，這段惡意代碼通過這名程序員 (真實姓名為倪某成) 自己注冊的域名加載。

InfoQ 就此事詢問了 B 站，暫未得到官方回應。截至發稿時，該惡意代碼已被刪除。

知情人員透露，此事并非存在技術上的漏洞，屬于個人濫用職權進行黑客行為。目前，B 站已第一時間進行處理，開除該員工，并與相關監管部門同步情況。

據公開信息透露，倪某成在嗶哩嗶哩（B 站）網頁端的 DanmakuX 彈幕引擎項目中擔任了開發和優化的關鍵角色。

DanmakuX 項目地址：https://github.com/topics/danmaku?l=typescript

?DanmakuX 是一個開源的 Android 彈幕引擎，主要用于在視頻直播中顯示彈幕。DanmakuX 由 Bilibili 開發，旨在提供一個高效、靈活的彈幕渲染引擎，支持多種彈幕格式和顯示效果。其核心特性包括：

• 高效繪制?：DanmakuX 支持多種繪制方式（如 View、SurfaceView、TextureView），能夠高效地解析和繪制彈幕?；

• 多核優化?：該引擎進行了多核優化，具有高效的預緩存機制，能夠在多核設備上提供更好的性能?；

• 自定義功能?：支持多種顯示效果選項實時切換，包括換行彈幕、運動彈幕等，并且支持自定義字體和多種彈幕參數設置?；

• ?兼容性?：DanmakuX 能夠兼容多種視頻控件，如 ijkPlayer，并且已被多個應用使用，如優酷土豆、開迅視頻、斗魚 TV 等?。

然而，他涉嫌在一個頁面中引入了一段惡意代碼，其目的僅僅是為了針對并攻擊特定的網站用戶。目前推測，這一行為可能源于倪某成與站內其他用戶發生爭執后產生的個人恩怨。為了報復，他利用自己的技術權限，在系統中植入了這段有害代碼。

那么，倪某成引入這段惡意代碼帶來的結果是什么？結果就是造成了某位 B 站用戶在使用 B 站網頁端觀看視頻時跳轉到顯示“你的賬號被封禁！”的界面 。

這樣一來，這位以為自己賬戶被封禁的用戶坐不住了，向 B 站客服發消息問詢賬戶情況。

在這名被封賬號的用戶與 B 站客服溝通中我們獲得到的信息是：因為這位 B 站內部員工（倪某成）的原因，其中一名用戶在 B 站賬戶上所有的動態稿件全部被刪除（截至發稿前，該名用戶主頁上的動態已恢復顯示）。

但實際上，這位 B 站內部員工（倪某成）并沒有直接關閉用戶的賬號，用戶賬號也依然處于活躍狀態，所見的提示更像是倪某成在用戶界面上弄的一點小把戲。

據 @羅德蘭屑羅素在 B 站發布的動態爆料，這位 B 站內部員工（倪某成）曾發私信給他稱：“看你身份證做什么，廢掉你賬號不就行了，你既然喜歡在網絡找存在感，那我也只能順從你了。”

截圖來源：B 站用戶 @羅德蘭屑羅素發布的動態

甚至還威脅說：“到時候別向我求饒，我整你可不是口嗨的，你再仔細想想我為啥一直強調我的工作就知道了～。”

截圖來源：B 站用戶 @羅德蘭屑羅素發布的動態

圖片來源：bilibili 百度貼吧

截圖來源：B 站用戶 @羅德蘭屑羅素發布的動態

此外，這名用戶還透露，此 B 站內部員工（倪某成）還曾經因為個人情緒原因將自己的一位網名為黃金鼠塔的朋友賬號“開盒”。

圖片來源：bilibili 百度貼吧

在網絡上流出的群聊天記錄信息中透露，倪某成的行為就是利用內部權限將與其在游戲中產生矛盾的用戶個人信息批漏出來，并封禁了涉事用戶的賬號。

目前流傳的截圖顯示倪某成加載的惡意代碼通過 hxxps://www.jakobzhao.online/main.js 引入，據藍點網檢查該域名后發現，其注冊時間是 1 月 13 日且當前處于無 DNS 解析狀態。

而網友發布的視頻最早是 1 月 12 日，也就是倪某成發起攻擊的時間應該要更早，所以是否還使用其他域名進行攻擊目前還不清楚，但倪某成自己的個人博客地址 hxxps://niyuancheng.top/ 目前也同樣處于 DNS 無解析狀態，此前是可以正常訪問的，這兩件事應該也存在直接關聯。

以上情況只會在 Web 端進行復現。攻擊原理為此“員工”利用自己權限推送代碼，在頁面跨域加入自己私人站點的 js 腳本。所有使用 Web 端用戶都會加載這個代碼，而攻擊者讀取用戶信息對指定用戶進行攻擊。

第二百八十六條【破壞計算機信息系統罪（刑法第 286 條）】 違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。

B 站的處理結果是什么？

據 @老變態了了了發布的視頻，接到用戶反饋后，B 站第一時間進行了調查，內部非常重視并成立了專門的調查小組，現在已經將事情完全查清楚。據 B 站稱，事情的事實是賬號被封禁是 B 站內部某位員工違規操作導致的，他的行為已經觸及到了 B 站員工行為紅線，目前 B 站已經開除了這名員工。

B 站并未遭受來自外部黑客利用漏洞的攻擊，反而是內部員工倪某成將惡意代碼悄然植入。這從某種程度表明，B 站在代碼審核及發布流程上存在一定的安全隱患。按照常規流程，新代碼推送至生產環境應歷經嚴格的審核與復核環節。

目前，B 站已清除該惡意代碼，建議用戶采取進一步措施，例如清理瀏覽器緩存及刪除 Cookies 等信息，以確保徹底消除倪某成植入的這段 js 代碼所帶來的風險。

網友怎么看？

此次 B 站內部員工投毒代碼事件引發了輿論的軒然大波。在知乎平臺上，一條“如何看待 2025 年 1 月 B 站員工人肉用戶并刪除用戶視頻事件?”貼子下方，ID 名為 Nauitas 的知乎用戶回復稱：

“人肉不人肉根本不是重點，重點是這么大一個上市公司，一個 00 后剛入職沒多久的就有隨便修改生產環境代碼的權限，甚至可以說是生產環境里最重要的跟用戶直接交互的前端界面代碼。這次搞的太過分抓到了，那之前搞的不過分的呢？他們所有的軟件代碼里到底埋了多少雷？有多少暗中搞事情的后門？ 強烈建議所有用戶從現在開始立刻停用賬戶，停用 App，提取出所有余額，直接默認自己 B 站賬號所有個人信息，歷史記錄，聊天記錄，甚至裝過 B 站 App 的手機內所有資料都早就已經全部泄露，來進行進一步應對以減少損失。”

還有人認為，B 站的內部管理可能有問題，可能沒有代碼審查或代碼審查漏下了，導致惡意代碼可以被輕易地放入正式版。

“如果前端被植入代碼的話，攻擊者理論上是可以代替用戶操作的。包括但不限于代替用戶發布評論彈幕、刪除用戶收藏等任何內容、查看用戶未刪除的歷史記錄。如果是客戶端，甚至可以偷偷盜取用戶數據。（Windows 這種權限控制機制和 沙盒機制 幾乎沒有的操作系統特別危險。） 看來軟件還得是開源的才好。然而網頁版……”

https://space.bilibili.com/349768022/upload/video

https://www.zhihu.com/question/9842359834/answer/81829950220

https://web.archive.org/web/20250115095222/https://niyuancheng.top/

會議推薦

在 AI 大模型技術如洶涌浪潮席卷軟件開發領域的當下，變革與機遇交織，挑戰與突破共生。2025 年 4 月 10 - 12 日，QCon 全球軟件開發大會將在北京召開，以 “智能融合，引領未來” 為年度主題，匯聚各領域的技術先行者以及創新實踐者，為行業發展撥云見日。現在報名可以享受 8 折優惠，單張門票立省 1360 元，詳情可聯系票務經理 18514549229 咨詢。