Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Доверяй, но проверяй каждый скрипт. История о том, как официальный CDN превратился в тыкву (и вирус)

leer en español

Apifox SlowMist цепочка поставок вредоносный скрипт CDN Electron кибератака
Доверяй, но проверяй каждый скрипт. История о том, как официальный CDN превратился в тыкву (и вирус)
Apifox SlowMist цепочка поставок вредоносный скрипт CDN Electron кибератака

Хакеры взломали десктопный клиент Apifox через официальный канал доставки контента.

image

Атака через доверенный источник — сценарий, который многие до сих пор недооценивают. Новый инцидент с популярным инструментом для работы с API показывает, насколько опасным может оказаться компрометированный внешний ресурс, даже если речь идёт об официальной инфраструктуре разработчика.

Команда SlowMist обнаружила атаку на цепочку поставок, затронувшую десктопный клиент Apifox. Злоумышленники внедрили вредоносный код в JavaScript-файл, размещённый на официальном CDN сервиса. Файл маскировался под обычный скрипт аналитики, поэтому не вызывал подозрений и автоматически загружался клиентом при запуске.

Вредоносный код выполнялся внутри приложения, построенного на базе Electron, и не требовал никаких действий со стороны пользователя. После запуска скрипт собирал учётные данные, токены доступа и информацию о системе, затем отправлял их на сервер управления атакующих. Следом клиент получал дополнительные команды и мог выполнять произвольный код, что фактически давало полный удалённый контроль над системой.

Анализ показал, что злоумышленники не заменили оригинальный файл полностью, а аккуратно дополнили его вредоносной частью. Такой подход позволил сохранить легитимную функциональность и обойти механизмы проверки. Код тщательно запутали: строки зашифровали с использованием RC4, ключевые параметры вычислялись через сложные выражения, а сетевой трафик дополнительно защищался RSA. Внутри скрипта работал таймер, который регулярно связывался с управляющим сервером и загружал новые команды.

Точкой входа стала подмена ресурса на CDN Apifox. Сравнение оригинальной и изменённой версии подтвердило наличие внедрённого кода. Архивные копии также зафиксировали момент компрометации.

Специалисты рекомендуют пользователям немедленно отозвать все ранее выданные токены, сменить пароль и проверить историю входов. Дополнительно советуют очистить локальные данные клиента и заблокировать подозрительные домены на уровне сети.

Случай с Apifox вновь показывает уязвимость экосистемы, зависящей от сторонних ресурсов. Даже официальные CDN могут стать точкой атаки, если злоумышленникам удаётся вмешаться в процесс доставки кода.