看了几个报道都说源头就是:
https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js
这个文件被黑客篡改了(中间动态加载了 apifox.it.com 的恶意 js )。
cdn.apifox.com 貌似是托管在七牛云 CDN (这个信息可信度较高),用过七牛云 CDN 的应该知道,自托管的对象存储失守了,内鬼的可能性更大呀,怎么就甩锅给“供应链攻击”了呢?似乎也不是七牛云 CDN 的 DNS 解析或边缘服务器泄露,否则 Apifox 肯定是甩锅给七牛云了吧。
如果是引入第三方 js 被人掉包了,才好说是“供应链”失守吧,这明明就是 Apifox 内部被爆了吧,CDN 被爆和数据库被爆,性质大差不差了。
这口锅看得人云里雾里的,还是咱理解有问题?
 |
1
Gilfoyle26 1 天前
不重要,反正我没用,始终对国产的软件不会信任
|
 |
2
jacketma OP @Gilfoyle26 最近连着出事,飞牛 NAS 远程漏洞、美团删用户图片、天津超算数据外泄、Apifox 的 js 文件被黑。。。信任不容易啊
|
 |
3
Jack927 1 天前  1
关键是,3.4 的问题,3.25 才发,还不是给账号发邮件、发短信,只是自己网站一个公告,傻逼。
|
 |
4
llsquaer 1 天前
好久没用过了. 前天到今天才刚强度的用了下. 应该没坑到..
|
 |
5
akiyamamio 1 天前
@Jack927 #3 更关键的是,飞牛也是问题爆发了才扭扭捏捏发个公告,然后大家就当没有发生任何事继续用。所以后面这些公司就跟着学呗
|
 |
6
AS4694lAS4808 1 天前 via Android 2
我司一个全球软件版本至少一个月才能发出去,期间要经历 N 种安全软件扫描,人工代码 review 开源依赖扫描和法务开源审核,曾经因为上游 cve 一直不更新,硬生生被逼重新实现几万行的逻辑,同事每天吐槽流程。但是这种时候想想,也许还是有点用的...
|
 |
7
ovtfkw 1 天前
这玩意失啥 听都没听过
|
 |
8
sddyzm 1 天前
是的
|
|
9
sddyzm 1 天前
这种安全态度注定做不大
|
 |
10
lisongeee 1 天前
你理解的没有问题
这个和供应链完全没有关系,就是内鬼或者 apifox 内部服务器被攻破 apifox 自称供应链攻击完全就是推卸责任 https://v2ex.com/t/1201146?p=2#r_17456652 |
|
11
lisongeee 1 天前
|
 |
12
billlee 1 天前
我看到的比较早的说法是「 Apifox 供应链投毒攻击」,不是 **被** 供应链投毒。Apifox 本身就是开发工具,它自己是工具链。
|
 |
13
angeni 1 天前 1
反正这个软件一辈子不会出现在我的电脑上了
如果团队用,我也会极力反对。 满嘴谎话就算了,短信通知也没有 |
 |
14
aminobody 1 天前
@lisongeee #10 完全认同,明明是自己的 cdn 服务器被 hack 了,还宣称供应链投毒,好像自己被开源社区坑了一样。xz backdoor 和 ultralytics 那个事才是真正的供应链投毒。
|
 |
15
SilentOrFight 19 小时 32 分钟前
@AS4694lAS4808 #6 真羡慕有这流程
|
 |
16
esile 17 小时 51 分钟前
不排除为了盈利一波自己操作的
|
 |
17
Ketteiron 15 小时 55 分钟前
供应链攻击 (Supply chain attack) 是一个定义宽泛且未能达成共识的术语。
这个定义最宽泛的解释是一切非直接攻击都可以称作供应链攻击,因此世界上绝大多数成功的网络攻击都可以算是供应链攻击。稍微严格的解释是受信任的上游被攻破、植入后门,造成难以发现的下游打击。 它暗示厂商本身也是受害者,常用于甩锅大会,但厂商不能由于自己服务器被攻破了,然后声称自己受到了供应链攻击,受到攻击的是用户,厂商是跳板。 例如 2013 年的 Target 泄密事件,黑客攻击 Target 的上游 Fazio 窃取到凭证,横向移动盗走 Target 几千万张信用卡信息,Target 在这次事件中和被偷走信息的用户都是受害者,他们遭受到了供应链攻击。至于 Target 内部安全措施和管理一坨屎是另一回事。 2020 年的 SolarWinds 事件,Orion 的构建服务被黑,这里遭受到供应链攻击的是使用了 Origin 的倒霉蛋。对于此次事件 SolarWinds 甩锅给了外国政府。但无论怎么说,这还是自身服务被直接攻破了的原因。 如果 Apifox 要声称自己遭到供应链攻击,那只能是七牛云投的毒。 我更倾向于是某个开发或者管理人员的凭证被偷了,或者有内部人员勾结黑产。 |
 |
18
pxw2002 15 小时 27 分钟前
我一直很纳闷 为啥要加载第三方 js 很多时候 加载一堆 js 可能都不如一张图片大 整这玩意意义何在
|
 |
19
fstab 13 小时 43 分钟前
@AS4694lAS4808 #6 羡慕这样的软件开发商,对用户负责。
|
Select Language