Apifox 供应链投毒攻击 — 完整技术分析
白帽酱の博客
2026-03-25 15:46:49
收藏
一、概述
近日,工作中监测到 Apifox 文件存在被投毒情况。
Apifox 是一款 API 一体化协作平台,其桌面端应用基于 Electron 框架开发,提供 Windows、macOS、Linux 三平台客户端。因未严格启用 sandbox 参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 JS 控制 Apifox 的终端——三个平台均受影响。
Apifox 在启动过程中会加载:
|
该文件正常大小为 34KB,但在 3 月 4 日之后可能会请求到被投毒的版本(77KB)。被投毒的 JS 文件会动态加载 hxxps://apifox[.]it[.]com/public/apifox-event.js(该域名非官方域名),在满足特定条件下加载攻击载荷,采集主机系统环境和敏感信息(SSH 密钥、Git 凭证、命令行历史、进程列表),上报到 hxxps://apifox[.]it[.]com/event/0/log。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。
目前入口文件已被还原,仅在 Wayback Machine 存档中可见投毒版本。
目录
最新
- Apifox 供应链投毒攻击 — 完整技术分析
- Cursor 逆向笔记 1 —— 我是如何拦截解析 Cursor 的 gRPC 通信流量的
- CVE-2025-41243 Spring Cloud Gateway SpEL 沙箱从任意属性访问到任意文件下载
- 从一个废弃AI工作流平台拿下生产网 记SRC中的一次 ComfyUI comfy_mtb 插件 RCE
- V8 字节码反编译 还原bytenode保护的js代码
- Java 代码解密:使用 Frida 还原 JVMTI Agent 加密保护的java类 & Linux 环境下的Frida 使用
- 图片验证码引起的惨案 一个开源验证码库导致的 jumpserver 账户接管漏洞
- 一种在高版本JDK下 的新型嵌入式Jetty Customizer内存马实现