疑似nsis工具链投毒问题

[chen-qingyu]

起因是这个样子的：

某天我自己写的一个很简单的小程序完了然后pack打包了一下生成nsis的安装包，然后上传到了github上面准备发布到winget-pkg，从github下载下来测试的时候被Windows Defender报高危木马病毒了，我以为是误查杀，就放白名单了。但是winget-pkg的action失败了。我清理源码无任何改动再次打包，查了查这个新打包的安装包和github我上传上去的哈希值不一样。我把白名单清空，这个新打包出来的程序下载或运行都没有被报病毒。当时我以为是我第一次上传或下载的时候流量被劫持然后注入病毒了。后来看到一个压缩软件xz被植入后门的消息，我突然想到会不会是nsis也被植入了后门，而这个后门更加隐蔽，随机抽取其中某次打包的时候植入病毒，所以我再次打包它就是正常的。我找了一下当时打包的日期，是2024.03.07。当天清理了一下电脑重启之后全盘扫描又没有发现病毒，不知道是我哪里搞错了还是pack调用的nsis包被植入了什么后门。

OS：win10，xmake版本：xmake v2.8.6+HEAD.211710b67

[waruqi]

这边所有代码都是开源，你可以自己 review , nsis 相关的代码，都在下面这些位置，如果你不放心，就仔细分析下。

https://github.com/xmake-io/xmake-repo/blob/dev/packages/n/nsis/xmake.lua
https://github.com/xmake-mirror/nsis
https://github.com/xmake-io/xmake/blob/master/xmake/plugins/pack/nsis/main.lua
https://github.com/xmake-io/xmake/blob/master/xmake/scripts/xpack/nsis/makensis.nsi

另外，现在的杀毒软件如果不过白，默认大概率都会报毒，很正常的事情，xmake的安装包也是 nsis 做的，在一些用户机器上也会报， 这个我也没办法，除非挨个过白。

[chen-qingyu]

好的谢谢。我倒是不担心xmake，只是看到xz的新闻然后突然想到nsis那边会不会也有问题，也有可能是我推断错误了。

[chen-qingyu]

（首先声明我不是怀疑xmake，我自己用很久xmake了也觉得很好用，只是想知道为什么报毒以及怎么能不报毒（除了加白名单））。今天去nsis那边看了一下，下载 https://sourceforge.net/projects/nsis/files/NSIS%203/3.09/nsis-3.09.zip/download 不会报毒，我也怀疑过是 https://github.com/kichik/nsis 的问题，下载 https://github.com/kichik/nsis/archive/refs/tags/v309.zip 也不会报毒（压缩包大小不一样，可能是把log也一起压缩了），而下载 https://github.com/xmake-mirror/nsis/releases/download/v309/nsis-3.09.zip 就会被 Windows Defender 报毒，为什么啊（我知道这两个压缩包大小不一样，可能是把log也一起压缩了），晕了 😵
我看Windows Defender给出的信息是：file: ...\Desktop\nsis-3.09.zip->Stubs/lzma_solid-x86-ansi ，会不会就是那个xz？因为xz用的就是lzma

[waruqi]

之前的 3.09.zip 包是从 https://github.com/kichik/nsis 的 action ci 的 3.09 job 里面下载的 build.zip 包，并不是从 https://sourceforge.net/ 下载的，有可能 sf 上的包并不是从 ci build 上传上去的，所以不同。当初原本 xmake-repo/nsis 包是打算走源码构建的，后来没能搞定，就直接从官方 action ci 上下载了 build.zip 版本直接用了。

不过现在上面只有 3.10 的版本的了，https://github.com/kichik/nsis/actions/runs/8497460576

而 nsis-3.09-strlen_8192.zip 是完全从 sf 上下载的，你可以自己对比完全一样。

而这边 nsis 打包主要用的就是 nsis-3.09-strlen_8192 里面的 makensis.exe 二进制，并没有用到其他东西，因此目前用到的主程序还是 sf 上的版本。

xmake/xmake/plugins/pack/nsis/main.lua

Line 66 in 5379717

local makensis = find_tool("makensis", {check = _check_makensis})

https://github.com/xmake-io/xmake-repo/blob/d8fc0686b55b2d00d317bfa84c6ec6d3310be3ee/packages/n/nsis/xmake.lua#L24

我看Windows Defender给出的信息是：file: ...\Desktop\nsis-3.09.zip->Stubs/lzma_solid-x86-ansi ，会不会就是那个xz？因为xz用的就是lzma

这个我不清楚

如果你觉得不放心，我可以把 sf 上的 zip 继续加回去，当初也是因为下载不稳，才走了 xmake-mirror 。。或者你也可以提 pr 过来更新到 sf 上的版本，顺带帮忙更新到 3.10

[waruqi]

我 xmake-mirror 上已经更新到 跟 sf 一样的版本，你可以再试试。xmake-io/xmake-repo#3704

[chen-qingyu]

对了对了！现在就好了，没有报毒了，谢谢！