共计 1227 个字符,预计需要花费 4 分钟才能阅读完成。
2026 年 3 月初,知名 API 协作工具 Apifox 爆发大规模供应链投毒事件。攻击者通过篡改桌面端动态加载的 JavaScript 脚本,在数万名开发者的电脑中植入后门。这次事件再次敲响了警钟:作为生产力工具的软件,正成为黑客进攻企业内网的“特洛伊木马”。
什么是供应链投毒?
简单来说,供应链投毒是指攻击者不直接攻击目标系统,而是攻击目标系统所依赖的第三方库、插件或软件更新通道。本次 Apifox 事件中,攻击者利用了其 Electron 桌面端加载外部资源的机制,将恶意代码注入其中。
技术拆解:攻击者在盯着你的哪些文件?
根据安全专家的逆向分析,本次恶意载荷(Payload)具有极强的针对性,主要目标是窃取开发者的核心凭证:
- SSH 密钥:扫描
~/.ssh/id_rsa等私钥文件,获取服务器控制权。 - Git 凭证:通过读取
.gitconfig和缓存,窃取 GitHub/GitLab 的 Access Token,从而拉取私有代码仓。 - Shell 历史记录:分析
.zsh_history或.bash_history,寻找明文密码、API 参数及内网 IP 地址。 - 云服务配置:读取 AWS、阿里云等云厂商的 AccessKey。
macOS/Linux 用户自查指南
如果你在 2026 年 3 月 4 日后使用过 Apifox 桌面端,请立即执行以下操作进行排查:
1. 深度检索恶意特征
在终端运行以下命令,检查本地缓存中是否存在恶意代码指纹:
Bash
grep -arlE "rl_mc|rl_headers" ~/Library/Application\ Support/apifox/Local\ Storage/leveldb
注意:如果有任何文件名输出,说明你的设备已受到感染。
2. 检查异常外联
通过以下命令观察是否有连接到可疑域名(如恶意 C2 服务器):
Bash
lsof -i -P -n | grep ESTABLISHED
亡羊补牢:受灾后的应急响应
如果你确认受到了影响,请 按顺序 执行以下“止损”操作:
- 卸载与清理:彻底删除 Apifox 及其相关缓存目录(
~/Library/Application Support/apifox)。 - 轮换 SSH 密钥:不要抱有幻想,立即生成新的 SSH Key 对,并移除服务器上旧的
authorized_keys。 - 撤销 Token:前往 GitHub 或公司 Git 平台,撤销所有现有的 Personal Access Token。
- 修改环境变量:重点检查 Laravel 等框架的
.env文件,更换涉及的数据库及第三方服务密码。
这次事件提醒我们,单纯的防火墙已不足以保护开发环境。建议开发者:
- 推崇 Web 端优先:对于不依赖本地环境的工具,优先使用网页版。
- 最小权限运行:尽量避免以 Root 或高权限运行非必要的桌面工具。
- 审计历史记录:在
.zshrc中开启命令前加空格不记入历史的功能(export HISTIGNORE="&:[]*")。
安全建议: 在这个万物互联的时代,“不信任,且持续验证”(Zero Trust)是保护代码资产的最后一道防线。
正文完
关注公众号
