如题,客户端预加载的肯定是官方自己的 js 文件。
因此,攻击者要么篡改 apifox 客户端,要么篡改 js 要么劫持 https 。只有这几种方式。
首先,客户端肯定不会被改,我本地的 apifox 版本才 2.7.7 ,看了下更新文档是 25 年 4 月发布的,攻击者应该没这么早下手。 其次就是修改了官方自己的 js ,官方的 js 存放在 cdn 上。这块不是很懂,问了下 ai ,ai 说先是修改的官方在 cdn 上的文件,在官方的 js 文件中添加了加载有问题的 js 文件(也就是 apifox-event.js ),难道有攻击者能在未授权的情况下直接修改 cdn 上的文件吗,还是有内鬼在做这件事?
有没有大佬详细说说
 |
1
JoeJoeJoe PRO |
 |
5
star0329 18 小时 45 分钟前
同关心如何被投毒的,官方不做详细解释以后是不会用了
|
 |
6
lujiaxing 18 小时 43 分钟前
这个问题有人聊过. 但是谁也说不好.
目前有几种假说, 一是说某个员工的 AI 工具链 (或者其他软件) 被攻破了. 攻击者利用被攻破的软件上传了投毒的 js 文件. 二是说 ApiFox 他们自己的 CI/CD 工具链被攻破了 (就跟之前 Python 那个组件被攻破投毒一样) 然后有人用 CI/CD 工具投毒. |
 |
8
jianming348 18 小时 41 分钟前
@JoeJoeJoe #1 这文章的 AI 味太重了,看不下去
|
 |
9
stinkytofux 18 小时 41 分钟前
这次很多开发者的各种密钥泄露了, 难免会成为下次入侵事件的导火索.
|
|
10
JoeJoeJoe PRO |
|
11
JoeJoeJoe PRO @jianming348 确实 ai 味很重, 但是可以看完的, 哈哈哈哈
|
 |
12
florentino 18 小时 33 分钟前
litellm 这个包,只要安装了,就会把本地密钥都泄露啊,你密钥都泄露了,黑客拿你密钥改你 cdn 文件很难吗
|
 |
13
seedhk OP @florentino litellm 投毒跟这次 apifox 有啥关系?
|
|
14
florentino 18 小时 31 分钟前
另外,这一波估计很多软件开发商的本地密钥都有可能都被黑客端了,只是黑客还没开始行动攻击罢了
|
|
15
florentino 18 小时 30 分钟前  1
@seedhk #13 我的意思是,他们公司要搞 AI,估计拉取过这个包,黑客很可能就获取到密钥了
|
|
17
JoeJoeJoe PRO @ronyin 不是我写的😂 AI 总结个文章我觉得能接受.
ps: 虽然我觉得 apifox 说供应链攻击可能是为了掩盖他们自己的一些错误, 但是用户敏感信息确实泄露了,如果用了的话还是自查一下比较好. |
 |
18
ZztGqk 18 小时 9 分钟前 via iPhone
问题是它这个本地应用使用 cdn 资源,这明显是为了热更新的偷懒行为
|
 |
19
ooooo00000ooooo 17 小时 52 分钟前
最大的可能性就是公司内的某个员工电脑被入侵了,这样才有可能篡改到 CDN 文件。
|
 |
20
sddyzm 17 小时 50 分钟前 via iPhone
某些人现在除了发帖炒炒加密货币的价值,别的回答的质量真是不堪入目
|
 |
23
monkeyWie 17 小时 12 分钟前
应该是类似 npm 供应链投毒,npm 里面的黑魔法太多了,你安装一个包的时候就可以在本地运行脚本,这种一看就是 apifox 被针对投毒的情况
|
 |
24
iomect 17 小时 11 分钟前 9
主要是公司态度有问题
跟之前飞牛一样 不第一时间群发短信/邮件/推送 告知风险 而只是偷偷摸摸发了个微信公众号文章 相信到目前为止还有一些公司压根不知道已经发生泄露了 昨天把所有的密码 密钥之类的全都轮换了一遍 这软件直接卸载了 |
 |
26
Bantes 15 小时 45 分钟前
中招了,查了下本地有`_rl_mc`和`_rl_headers`记录。
|
 |
27
1343EFF 14 小时 37 分钟前
说明客户端最好都用离线资源,别引入远程 cdn ,网络不稳定是一个问题,被劫持又是一个问题
|
 |
28
Romic 14 小时 13 分钟前
好恶心,现在供应链攻击
|
 |
30
dimwoodxi27 11 小时 51 分钟前
实在想不到除了内部人员,外人能用什么方式能直接进入阿里修改 OSS 里面的内容,光阿里企业登录一般都需要手机验证码,当然了内部人员泄露 OSS 上传凭证也不是不可以,一般上传凭证不会过期也就文件 sign 会变。
|
 |
31
datoujiejie221 10 小时 59 分钟前 via iPhone
想到很多年前 xcode 投毒事件,当时因为 Xcode 被植入后门,导致打出来的 ipa 也带了后门,这次估计也是 apifox 打包人员的工具被投毒了。
|
 |
32
cj323 6 小时 6 分钟前
我也一直觉得和供应链攻击没关系。我理解的供应链攻击是一个上游依赖里用一个统一的域名广泛投毒。而这个是针对性的给 apifox 投有针对性的混淆域名。这分明是单一攻击;供应链攻击的说法是没有说服力的。
但我不明白的是,如果攻击者有改编译代码结果,甚至改 cdn 文件的能力,为什么非要废这么大劲远端投毒还留下这么多线索?为什么不直接把有毒的脚本编译进本地安装包给用户下呢? |
Select Language