Yishi|2026年03月25日 11:06
Apifox 出现供应链投毒。其 Electron 桌面端未严格启用 sandbox,且向渲染进程暴露 Node.js API,攻击者可通过恶意 JS 实现 RCE。
应用启动时从官方 CDN 拉取 apifox-app-event-tracking.min.js。自 3 月 4 日起,该资源被间歇性替换为投毒版本(77KB,正常约 34KB)。
投毒脚本进一步加载第二阶段载荷,来源为攻击者控制的非官方域名 apifox[.]it[.]com,在满足条件后执行:
- 主机信息与敏感数据采集:SSH keys、Git 凭证、Shell history、进程列表
- 数据回传至 apifox[.]it[.]com/event/0/log
- 下发持久化后门并尝试横向移动
IoC
- 篡改资源:hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js(77KB)
- C2 域名:apifox[.]it[.]com
- Exfil 端点:hxxps://apifox[.]it[.]com/event/0/log
处置建议:
- 立即升级至 v2.8.19+
- 对所有运行过受影响版本的主机执行凭证重置:SSH keys、Git tokens、API keys 全量轮换
- 审计 Shell history、进程日志及异常外联记录
- 检查持久化机制:cron、Launch Agents、systemd 等
所有相关凭证按已泄露处理,统一吊销并重签(Yishi)
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接