API 开发协作平台 Apifox 发布安全公告,承认其公网 SaaS 版桌面客户端遭遇供应链攻击。3 月 4 日至 3 月 22 日期间,客户端启动时动态加载的事件追踪 JS 文件被篡改为恶意版本(正常 34KB,篡改后 77KB),恶意脚本概率性触发,可能读取用户本地的 SSH 密钥、Git 凭证、Shell 命令历史等高敏感文件,并上报至攻击者注册的仿冒域名 apifox.it.com。该域名并非意大利国别域名,而是商业子域名服务,极具迷惑性。攻击者还可借此拉取后门程序发起横向渗透。
Apifox 于 3 月 23 日发布 v2.8.19 版本修复漏洞,将 JS 文件改为本地内置打包,切断在线加载攻击路径。蓝点网指出,Apifox 修复后未在任何页面发布安全公告。3 月 25 日安全研究员公开技术分析后,Apifox 当晚补发了正式公告。
受影响范围仅限公网 SaaS 版桌面客户端用户,Web 版和私有化部署版不受影响。Apifox 建议在风险时间段内使用过受影响版本的开发者立即轮换 SSH 密钥、Git 令牌、数据库密码、云服务 Access Key 等所有敏感凭证,并检查服务器是否存在异常登录。
未经允许不得转载:IT吧 » Apifox遭供应链投毒18天:悄悄修复不发公告,被曝光后才承认
