Доверяй, но проверяй каждый скрипт. История о том, как официальный CDN превратился в тыкву (и вирус)
NewsMakerХакеры взломали десктопный клиент Apifox через официальный канал доставки контента.
Атака через доверенный источник — сценарий, который многие до сих пор недооценивают. Новый инцидент с популярным инструментом для работы с API показывает, насколько опасным может оказаться компрометированный внешний ресурс, даже если речь идёт об официальной инфраструктуре разработчика.
Команда SlowMist обнаружила атаку на цепочку поставок, затронувшую десктопный клиент Apifox. Злоумышленники внедрили вредоносный код в JavaScript-файл, размещённый на официальном CDN сервиса. Файл маскировался под обычный скрипт аналитики, поэтому не вызывал подозрений и автоматически загружался клиентом при запуске.
Вредоносный код выполнялся внутри приложения, построенного на базе Electron, и не требовал никаких действий со стороны пользователя. После запуска скрипт собирал учётные данные, токены доступа и информацию о системе, затем отправлял их на сервер управления атакующих. Следом клиент получал дополнительные команды и мог выполнять произвольный код, что фактически давало полный удалённый контроль над системой.
Анализ показал, что злоумышленники не заменили оригинальный файл полностью, а аккуратно дополнили его вредоносной частью. Такой подход позволил сохранить легитимную функциональность и обойти механизмы проверки. Код тщательно запутали: строки зашифровали с использованием RC4, ключевые параметры вычислялись через сложные выражения, а сетевой трафик дополнительно защищался RSA. Внутри скрипта работал таймер, который регулярно связывался с управляющим сервером и загружал новые команды.
Атака через доверенный источник — сценарий, который многие до сих пор недооценивают. Новый инцидент с популярным инструментом для работы с API показывает, насколько опасным может оказаться компрометированный внешний ресурс, даже если речь идёт об официальной инфраструктуре разработчика.
Команда SlowMist обнаружила атаку на цепочку поставок, затронувшую десктопный клиент Apifox. Злоумышленники внедрили вредоносный код в JavaScript-файл, размещённый на официальном CDN сервиса. Файл маскировался под обычный скрипт аналитики, поэтому не вызывал подозрений и автоматически загружался клиентом при запуске.
Вредоносный код выполнялся внутри приложения, построенного на базе Electron, и не требовал никаких действий со стороны пользователя. После запуска скрипт собирал учётные данные, токены доступа и информацию о системе, затем отправлял их на сервер управления атакующих. Следом клиент получал дополнительные команды и мог выполнять произвольный код, что фактически давало полный удалённый контроль над системой.
Анализ показал, что злоумышленники не заменили оригинальный файл полностью, а аккуратно дополнили его вредоносной частью. Такой подход позволил сохранить легитимную функциональность и обойти механизмы проверки. Код тщательно запутали: строки зашифровали с использованием RC4, ключевые параметры вычислялись через сложные выражения, а сетевой трафик дополнительно защищался RSA. Внутри скрипта работал таймер, который регулярно связывался с управляющим сервером и загружал новые команды.