【漏洞预警】关于 apifox 被投毒的风险提示
一、背景介绍
近日,工作中监测到 apifox 文件存在被投毒情况。 apifox 是一款 API 一体化协作平台。其桌面端应用基于 Electron 框架开发,因未严格启用 sandbox 参数,并暴露了 Node.js 的 API 接口,导致攻击者可通过 js 控制 apifox 的终端。 apifox 在启动过程中会加载hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js文件,该文件正常文件大小为 34K,但在 3 月 4 日之后至今有几率请求到被投毒的 js 文件(大小 77K)。被投毒的 js 文件会动态加载hxxps://apifox[.]it[.]com/public/apifox-event.js(该域名非官方域名)文件,在满足特定条件下,加载攻击载荷,采集主机系统环境和敏感信息:SSH 密钥 、Git 凭证、命令行历史、进程列表,上报到hxxps://apifox[.]it[.]com/event/0/log。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。
二、缓解措施
目前官方暂未更新相关补丁。建议限制与
apifox[.]it[.]com
cdn[.]openroute[.]dev
upgrade[.]feishu[.]it[.]com
system[.]toshinkyo[.]or[.]jp
ns[.]feishu[.]it[.]com
等域名的连接。通过防火墙或者 DNS 层面来阻断恶意非官方域名,还可通过流量监测,监控 js 文件大小等措施来做好防护。
还好我没用 apifox,用了站里吉米推荐的 postwoman