Apifox 供应链投毒攻击 — 完整技术分析

好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读这篇文章，理解其主要内容和重点。 文章主要讲述了Apifox桌面端应用被投毒的情况。Apifox是一款API协作平台，基于Electron框架开发。攻击者利用了其沙盒参数未启用和Node.js接口暴露的漏洞，在启动时加载了一个被篡改的JS文件。这个文件会动态加载恶意代码，窃取用户的敏感信息，并上报到攻击者的C2服务器。 接下来，攻击者通过恶意代码窃取了SSH密钥、Git凭证、命令行历史等信息，并进一步执行远程代码，控制主机。虽然入口文件已被还原，但攻击期间持续了18天，影响范围广泛。 总结时需要涵盖攻击方式、影响范围、窃取的信息以及潜在的风险。同时要保持简洁，不超过100字。 现在，将这些要点整合成一个连贯的句子： Apifox桌面端因沙盒漏洞被投毒JS文件，窃取SSH密钥、Git凭证等敏感信息并上报至C2服务器，导致用户面临数据泄露和远程控制风险。 Apifox桌面端因沙盒漏洞被投毒JS文件，窃取SSH密钥、Git凭证等敏感信息并上报至C2服务器，导致用户面临数据泄露和远程控制风险。