近日,工作中监测到apifox文件存在被投毒情况。
apifox是一款API一体化协作平台。其桌面端应用基于Electron框架开发,因未严格启用sandbox参数,并暴露了Node.js的API接口,导致攻击者可通过js控制apifox的终端。
apifox在启动过程中会加载hxxps://cdn[.]apifox[.]com/www/assets/js/apifox-app-event-tracking.min.js文件,该文件正常文件大小为34K,但在3月4日之后至今有几率请求到被投毒的js文件(大小77K)。被投毒的js文件会动态加载hxxps://apifox[.]it[.]com/public/apifox-event.js(该域名非官方域名)文件,在满足特定条件下,加载攻击载荷,采集主机系统环境和敏感信息:SSH密钥 、Git凭证、命令行历史、进程列表,上报到hxxps://apifox[.]it[.]com/event/0/log。后续攻击者会控制主机拉取执行后门程序,并尝试发起横向攻击,控制更多有价值目标。
二、缓解措施
目前官方暂未更新相关补丁。建议限制与apifox[.]it[.]com、cdn[.]openroute[.]dev、upgrade[.]feishu[.]it[.]com、system[.]toshinkyo[.]or[.]jp、ns[.]feishu[.]it[.]com等域名的连接。通过防火墙或者DNS层面来阻断恶意非官方域名,还可通过流量监测,监控js文件大小等措施来做好防护。
