看了几个报道都说源头就是:
https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js
这个文件被黑客篡改了(中间动态加载了 apifox.it.com 的恶意 js )。
cdn.apifox.com 貌似是托管在七牛云 CDN (这个信息可信度较高),用过七牛云 CDN 的应该知道,自托管的对象存储失守了,内鬼的可能性更大呀,怎么就甩锅给“供应链攻击”了呢?似乎也不是七牛云 CDN 的 DNS 解析或边缘服务器泄露,否则 Apifox 肯定是甩锅给七牛云了吧。
如果是引入第三方 js 被人掉包了,才好说是“供应链”失守吧,这明明就是 Apifox 内部被爆了吧,CDN 被爆和数据库被爆,性质大差不差了。
这口锅看得人云里雾里的,还是咱理解有问题?
 |
1
Gilfoyle26 6 小时 33 分钟前
不重要,反正我没用,始终对国产的软件不会信任
|
 |
2
jacketma OP @Gilfoyle26 最近连着出事,飞牛 NAS 远程漏洞、美团删用户图片、天津超算数据外泄、Apifox 的 js 文件被黑。。。信任不容易啊
|
 |
3
Jack927 4 小时 42 分钟前  1
关键是,3.4 的问题,3.25 才发,还不是给账号发邮件、发短信,只是自己网站一个公告,傻逼。
|
 |
4
llsquaer 4 小时 33 分钟前
好久没用过了. 前天到今天才刚强度的用了下. 应该没坑到..
|
 |
5
akiyamamio 4 小时 29 分钟前
@Jack927 #3 更关键的是,飞牛也是问题爆发了才扭扭捏捏发个公告,然后大家就当没有发生任何事继续用。所以后面这些公司就跟着学呗
|
 |
6
AS4694lAS4808 3 小时 54 分钟前 via Android
我司一个全球软件版本至少一个月才能发出去,期间要经历 N 种安全软件扫描,人工代码 review 开源依赖扫描和法务开源审核,曾经因为上游 cve 一直不更新,硬生生被逼重新实现几万行的逻辑,同事每天吐槽流程。但是这种时候想想,也许还是有点用的...
|
 |
7
ovtfkw 3 小时 52 分钟前
这玩意失啥 听都没听过
|
 |
8
sddyzm 3 小时 46 分钟前
是的
|
|
9
sddyzm 3 小时 45 分钟前
这种安全态度注定做不大
|
 |
10
lisongeee 3 小时 42 分钟前
你理解的没有问题
这个和供应链完全没有关系,就是内鬼或者 apifox 内部服务器被攻破 apifox 自称供应链攻击完全就是推卸责任 https://v2ex.com/t/1201146?p=2#r_17456652 |
|
11
lisongeee 3 小时 39 分钟前
|
 |
12
billlee 3 小时 26 分钟前
我看到的比较早的说法是「 Apifox 供应链投毒攻击」,不是 **被** 供应链投毒。Apifox 本身就是开发工具,它自己是工具链。
|
 |
13
angeni 3 小时 16 分钟前
反正这个软件一辈子不会出现在我的电脑上了
如果团队用,我也会极力反对。 满嘴谎话就算了,短信通知也没有 |
Select Language