Apifox CDN 供应链投毒事件简单复盘:https://www.leavesongs.com/PENETRATION/apifox-supply-chain-attack-analysis.html
我还贴了我还原出来的攻击者的恶意脚本(包含第一二三阶段):https://gist.github.com/phith0n/7020c55bf241b2f3ccf5254192bd48a5
我看评论区有人问攻击者是否留了后门,是否要重装系统。我个人的分析来看暂时没看到有留后门的行为。
但我通常建议要重装电脑,阅读我的文章就能看出来,第二阶段后的恶意脚本是动态加载的。我和其他分析者昨天分析的都只是我们当时读到的恶意代码,但不代表之前恶意代码也是同样这一段。毕竟投毒持续了半个多月,也许攻击者干了其他事情,只是我们不知道。保险起见,最好还是全部重置一遍。
Select Language