⚠️Apifox 供应链投毒攻击

2026-04-11 14:151阅读0评论SEO资讯
  • 内容介绍
  • 文章标签
  • 相关推荐
问题描述: Apifox 供应链投毒攻击 开发调优
https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig 官方通告

白帽酱深度分析:Apifox 供应链投毒攻击 — 完整技术分析

image1470×1780 374 KB

Apifox 供应链投毒攻击 开发调优
详细的过程分析推荐看这位博主发的文章~

一、概述

近日,工作中监测到 Apifox 文件存在被投毒情况。
Apifox 是一款 API 一体化协作平台,其桌面端应用基于 Electron 框架开发,提供 Windows、macOS、Linux 三平台客户端。因未严格启用 sandbox 参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 JS 控制 Apifox 的终端——三个平台均受影响。

Apifox 在启动过程中会加载:

hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js

该文件正常大小为 34KB,但在 3 月 4 日之后可能会请求到被投毒的版本(77KB)。被投毒的 JS 文件会动态加载 hxxps://apifox[.]it[.]com/public/apifox-event.js (该域名非官方域名),在满足特定条件下加载攻击载荷,采集主机系统环境和敏感信息(SSH 密钥、Git 凭证、命令行历史、进程列表),上报到 hxxps://apifox[.]it[.]com/event/0/log 。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。

目前入口文件已被还原,仅在 Wayback Machine 存档中可见投毒版本。

关于 apifox.it.com 域名

攻击者使用的 C2 域名 apifox.it.com 极具迷惑性,值得单独说明.
.it.com 并非意大利国别域名 .it 的子域,而是一个商业性质的二级域名服务,由it.com 域名持有者提供类似"子域名注册"的商业服务。它不属于 ICANN 标准注册局体系,不受标准 gTLD/ccTLD 监管约束,无公开 WHOIS 信息可查,注册门槛极低,非常适合被攻击者滥用。

MAC排查

macOS 路径:~/Library/Application Support/Apifox/Local Storage/leveldb Windows 路径:C:\Users\<你的用户名>\AppData\Roaming\Apifox 或 C:\Users\<你的用户名>\AppData\Local\Apifox 如果在 leveldb 中发现 rl_mc 和 rl_headers,就说明已经中招了。

样本

放在评论了 :⚠️Apifox 供应链投毒攻击 - #48,来自 RTAi-Lab

恶意载荷还原代码

phith0n分析:Apifox CDN 投毒事件 - 恶意载荷还原代码:https://gist.github.com/phith0n/7020c55bf241b2f3ccf5254192bd48a5

259f1c846d031b99523fc50ee55bec87668×371 27.7 KB

二、缓解措施

目前官方暂未更新相关补丁。建议限制与
apifox[.]it[.]com
cdn[.]openroute[.]dev
upgrade[.]feishu[.]it[.]com
system[.]toshinkyo[.]or[.]jp
ns[.]feishu[.]it[.]com
等域名的连接。通过防火墙或者 DNS 层面来阻断恶意非官方域名,还可通过流量监测,监控 js 文件大小等措施来做好防护。

最新版本不受影响,重新安装启动不会请求这个域名

网友解答:
--【壹】--:

启动时看看有没有通讯这域名

--【贰】--:

佬,这个要怎么自查

--【叁】--:

建议佬们排查自己电脑

--【肆】--:

这个 CDN 位置上属于 Apifox,怎么说投毒也是内部所为吧;还使用近似名称的伪装域名,这和 NPM 那些依赖链条上的投毒可以说是大不同了。

--【伍】--: RTAi-Lab:

apifox.it.com

我的个人经验就是启动看有无通讯: apifox.it.com

--【陆】--:

卧槽 我说怎么 apifox 强制更新了 怎么排查有没有中毒

--【柒】--:

image1463×323 26.5 KB
这是中招了吗 大佬

--【捌】--: RTAi-Lab:

apifox-app-event-tracking.min.js

看到了,在线加载有被劫持风险。

--【玖】--:

[!quote]-all in ai ——— 人力层面的
f5585ab6c8fe7ba292d034ffb565cf77660×946 77.2 KB

话说这个url 是怎么混进去的?还精准针对apifox

--【拾】--: RTAi-Lab:

apifox-app-event-tracking.min.js

这个包是apifox 内部js ,不是第三方的;事件统计这种包也不大会动态下发。
那在他们的git 提交记录应该能轻易找到,只是看他们内部怎么处理了。

--【拾壹】--:

这家老板上次是不是有什么逆天发言?

--【拾贰】--:

CDN 上的 JS

--【拾叁】--:

怎么最近到处投毒

--【拾肆】--:

image1829×404 202 KB

--【拾伍】--:

火速开始排查,我靠

--【拾陆】--:

apifox-app-event-tracking.min.js的大小,没被投毒的版本是34kb

--【拾柒】--:

我现在用apipost 感觉比这个用起来舒服

--【拾捌】--:

我估计是引用了什么包

--【拾玖】--:

这和供应链投毒有什么关系

标签:网络安全软件开发

相关推荐

82163How can I obtain the maximum and sum of the second column array in Ruby?82180如何通过网站降权自查指南快速诊断并制定优化策略?82187如何通过高效SEO优化实现关键词精准定位?82206如何用rspec测试ruby-on-rails中的输入和工具提示功能?82214如何通过小项目将手机聊天恢复技术转化为巨大的商机?82219如何将不同数组中的值巧妙映射为等效对象数组属性?82220如何通过SEO优化开源网站,实现价格透明且高效提升排名?82223如何在Rails项目中为多个模型集成并使用CarrierWave图像上传器?82226为什么在ruby-on-rails模型中定义常量时偏爱使用||=而非=?82231在所有测试完成后,使用哪个RSpec钩子执行清理任务?82232Ruby中each、foreach、collect和map有何本质区别?82234Ruby on Rails中,ActiveRecord的save方法错误参数数量为0时,如何表示只有一个参数?82240如何在Ruby中实现require方法的完全覆盖?82247如何用SQL连接查询实现Ruby on Rails中has_one关联的复杂查询?82249专业SEO建站,首选品牌保障,哪家公司能提供这样的服务呢?82251令牌遗失或错,如何重定向至Rails?
问题描述: Apifox 供应链投毒攻击 开发调优
https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig 官方通告

白帽酱深度分析:Apifox 供应链投毒攻击 — 完整技术分析

image1470×1780 374 KB

Apifox 供应链投毒攻击 开发调优
详细的过程分析推荐看这位博主发的文章~

一、概述

近日,工作中监测到 Apifox 文件存在被投毒情况。
Apifox 是一款 API 一体化协作平台,其桌面端应用基于 Electron 框架开发,提供 Windows、macOS、Linux 三平台客户端。因未严格启用 sandbox 参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 JS 控制 Apifox 的终端——三个平台均受影响。

Apifox 在启动过程中会加载:

hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js

该文件正常大小为 34KB,但在 3 月 4 日之后可能会请求到被投毒的版本(77KB)。被投毒的 JS 文件会动态加载 hxxps://apifox[.]it[.]com/public/apifox-event.js (该域名非官方域名),在满足特定条件下加载攻击载荷,采集主机系统环境和敏感信息(SSH 密钥、Git 凭证、命令行历史、进程列表),上报到 hxxps://apifox[.]it[.]com/event/0/log 。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。

目前入口文件已被还原,仅在 Wayback Machine 存档中可见投毒版本。

关于 apifox.it.com 域名

攻击者使用的 C2 域名 apifox.it.com 极具迷惑性,值得单独说明.
.it.com 并非意大利国别域名 .it 的子域,而是一个商业性质的二级域名服务,由it.com 域名持有者提供类似"子域名注册"的商业服务。它不属于 ICANN 标准注册局体系,不受标准 gTLD/ccTLD 监管约束,无公开 WHOIS 信息可查,注册门槛极低,非常适合被攻击者滥用。

MAC排查

macOS 路径:~/Library/Application Support/Apifox/Local Storage/leveldb Windows 路径:C:\Users\<你的用户名>\AppData\Roaming\Apifox 或 C:\Users\<你的用户名>\AppData\Local\Apifox 如果在 leveldb 中发现 rl_mc 和 rl_headers,就说明已经中招了。

样本

放在评论了 :⚠️Apifox 供应链投毒攻击 - #48,来自 RTAi-Lab

恶意载荷还原代码

phith0n分析:Apifox CDN 投毒事件 - 恶意载荷还原代码:https://gist.github.com/phith0n/7020c55bf241b2f3ccf5254192bd48a5

259f1c846d031b99523fc50ee55bec87668×371 27.7 KB

二、缓解措施

目前官方暂未更新相关补丁。建议限制与
apifox[.]it[.]com
cdn[.]openroute[.]dev
upgrade[.]feishu[.]it[.]com
system[.]toshinkyo[.]or[.]jp
ns[.]feishu[.]it[.]com
等域名的连接。通过防火墙或者 DNS 层面来阻断恶意非官方域名,还可通过流量监测,监控 js 文件大小等措施来做好防护。

最新版本不受影响,重新安装启动不会请求这个域名

网友解答:
--【壹】--:

启动时看看有没有通讯这域名

--【贰】--:

佬,这个要怎么自查

--【叁】--:

建议佬们排查自己电脑

--【肆】--:

这个 CDN 位置上属于 Apifox,怎么说投毒也是内部所为吧;还使用近似名称的伪装域名,这和 NPM 那些依赖链条上的投毒可以说是大不同了。

--【伍】--: RTAi-Lab:

apifox.it.com

我的个人经验就是启动看有无通讯: apifox.it.com

--【陆】--:

卧槽 我说怎么 apifox 强制更新了 怎么排查有没有中毒

--【柒】--:

image1463×323 26.5 KB
这是中招了吗 大佬

--【捌】--: RTAi-Lab:

apifox-app-event-tracking.min.js

看到了,在线加载有被劫持风险。

--【玖】--:

[!quote]-all in ai ——— 人力层面的
f5585ab6c8fe7ba292d034ffb565cf77660×946 77.2 KB

话说这个url 是怎么混进去的?还精准针对apifox

--【拾】--: RTAi-Lab:

apifox-app-event-tracking.min.js

这个包是apifox 内部js ,不是第三方的;事件统计这种包也不大会动态下发。
那在他们的git 提交记录应该能轻易找到,只是看他们内部怎么处理了。

--【拾壹】--:

这家老板上次是不是有什么逆天发言?

--【拾贰】--:

CDN 上的 JS

--【拾叁】--:

怎么最近到处投毒

--【拾肆】--:

image1829×404 202 KB

--【拾伍】--:

火速开始排查,我靠

--【拾陆】--:

apifox-app-event-tracking.min.js的大小,没被投毒的版本是34kb

--【拾柒】--:

我现在用apipost 感觉比这个用起来舒服

--【拾捌】--:

我估计是引用了什么包

--【拾玖】--:

这和供应链投毒有什么关系