Yishi
Yishi|2026年03月25日 11:06
Apifox 出现供应链投毒。其 Electron 桌面端未严格启用 sandbox,且向渲染进程暴露 Node.js API,攻击者可通过恶意 JS 实现 RCE。 应用启动时从官方 CDN 拉取 apifox-app-event-tracking.min.js。自 3 月 4 日起,该资源被间歇性替换为投毒版本(77KB,正常约 34KB)。 投毒脚本进一步加载第二阶段载荷,来源为攻击者控制的非官方域名 apifox[.]it[.]com,在满足条件后执行: - 主机信息与敏感数据采集:SSH keys、Git 凭证、Shell history、进程列表 - 数据回传至 apifox[.]it[.]com/event/0/log - 下发持久化后门并尝试横向移动 IoC - 篡改资源:hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js(77KB) - C2 域名:apifox[.]it[.]com - Exfil 端点:hxxps://apifox[.]it[.]com/event/0/log 处置建议: - 立即升级至 v2.8.19+ - 对所有运行过受影响版本的主机执行凭证重置:SSH keys、Git tokens、API keys 全量轮换 - 审计 Shell history、进程日志及异常外联记录 - 检查持久化机制:cron、Launch Agents、systemd 等 所有相关凭证按已泄露处理,统一吊销并重签(Yishi)
+6
曾提及
分享至:

脈絡

熱門快訊

APP下載

X

Telegram

Facebook

Reddit

複製鏈接

熱門閱讀