惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

L
LINUX DO - 最新话题
小众软件
小众软件
C
Check Point Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
V
Visual Studio Blog
Last Week in AI
Last Week in AI
P
Proofpoint News Feed
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
The GitHub Blog
The GitHub Blog
T
Tailwind CSS Blog
Recorded Future
Recorded Future
雷峰网
雷峰网
WordPress大学
WordPress大学
A
Arctic Wolf
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Project Zero
Project Zero
T
Tor Project blog
T
Threat Research - Cisco Blogs
Scott Helme
Scott Helme
Spread Privacy
Spread Privacy
G
Google Developers Blog
Security Latest
Security Latest
MongoDB | Blog
MongoDB | Blog
T
Threatpost
I
InfoQ
T
Tenable Blog
T
The Exploit Database - CXSecurity.com
S
Security Affairs
H
Hackread – Cybersecurity News, Data Breaches, AI and More
人人都是产品经理
人人都是产品经理
C
Cisco Blogs
博客园 - 三生石上(FineUI控件)
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
aimingoo的专栏
aimingoo的专栏
C
CXSECURITY Database RSS Feed - CXSecurity.com
美团技术团队
Google DeepMind News
Google DeepMind News
The Hacker News
The Hacker News
D
Docker
博客园 - 【当耐特】
大猫的无限游戏
大猫的无限游戏
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Vercel News
Vercel News
PCI Perspectives
PCI Perspectives
Microsoft Azure Blog
Microsoft Azure Blog
C
CERT Recently Published Vulnerability Notes
月光博客
月光博客
Cloudbric
Cloudbric
A
About on SuperTechFans
F
Fortinet All Blogs

信息安全

阿里云被人暴力破解了 - V2EX 申请广电卡遇到疑似信息泄露 或 狸猫换太子的套路 - V2EX 为啥有网站可以检测出姓名与手机号实名信息不一致 - V2EX [apifox 投毒]都在 ai 写文章吗? - V2EX CVE-2026-46242 (Bad Epoll) 可在浏览器沙盒及安卓触发的提权漏洞 - V2EX 好心提醒,最近有个漏洞比较严重,建议大家关注下 - V2EX [原创]关于 Linux 终端安全监控 - V2EX 对 curl 下载脚本一定要万分小心,早上下载 claude 差点翻车 - V2EX 一个 reCAPTCHA 把我骗到重装系统,分享出来给大家提个醒 - V2EX 哪吒监控严重漏洞 CVE-2026-53519 - V2EX windows 汽水音乐下载踩坑: Google 搜索结果 前几个都是假站 已中招 🤦‍♂️ 微软帐号频繁有奇怪的二步登录请求 如果服务器都被黑进去了,还能保证配置文件的安全吗 分享 5-6 月份 CISA,CISSP 考试心得 又是 npm 包投毒...桌面莫名其妙多了个文件... 请教下,提示词注入大家一般都怎么防啊? 被鹰啄了眼 供应链攻击,正在蔓延,各位小心。逾 5500 个 GitHub 仓库在一场供应链攻击中遭感染 APKPure 上的 Telegram 官方版被植入间谍后门 GitHub 有可能被黑了 两个未修复微软 Win11 漏洞披露,涉及 BitLocker 绕过和本地提权 天塌了,数据库被黑客删库了,交 BTC 才会恢复数据,大家有办法恢复数据么 NPM 又被投毒,TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥/SSH 密钥与 GitHub 令牌 用 socket.dev 给 npm install 包一层安全防御 TanStack 最新版本被投毒,病毒会盗密钥和报复性删除用户目录 紧急避雷! google 搜 Codex 第一个结果是个病毒,千万别装,我已中招! 如何评价 VLESS 漏洞报告正文 Linux 高危内核提权漏洞 新一键 root 提权漏洞 dirtyfrag.io V2EX Ubuntu 高危漏洞 刚刚爆了一个影响 17 年后所有 Linux 内核的本地提权漏洞 CVE-2026-31431 / Copy Fail,尽快排查 机场的私有客户端, win 系统 defender 疯狂报病毒,拒下载安装,是有毒吗? - V2EX Bitwarden Cli 遭遇供应链攻击 WARNING: Bitwarden CLI was compromised in a supply chain attack. Vercel 又出问题 - Vercel April 2026 security incident - V2EX 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX Ucsb 发布的关于中转投毒论文 - V2EX 今天测试了一下 SD-wan 线路,结果就发生了这事 CPUID 官网疑似被入侵,提供带毒的 CPU-Z 和 HWMonitor Axios 投毒过程,源于电影高于电影 GitHub 中有些人给代码放恶意代码,如何针对他? - V2EX 手机系统三天两头爆漏洞,有什么产生损失的具体案例吗? - V2EX 出现了这么多开源软件攻击, 是否有必要优化一下发布流程? - V2EX 巨魔款 iOS 版本都存在网页投毒的 BUG。应当如何正确防范?(除升级放弃巨魔外) - V2EX 近期重大安全事件 - V2EX macOS 疑似中毒 - V2EX axios@1.14.1 遭遇供应链投毒:针对开发者及 MCP 用户的高隐蔽性 0-day 攻击 B 站反诈 Up 主总说“胡乱点进”了骗子的电脑,是用的什么方式? - V2EX 来自巨硬、神奇的勒索邮件,邮箱被黑了吗? - V2EX 你们有收到过 Nvdia 发的这种邮件吗 - V2EX 此次 ApiFox 是否中招自查命令 - V2EX Apifox 自己文件服务被入侵了,为什么说遭供应链攻击?还是理解有问题? 中了 apifox 供应链投毒,想问问大家有装带行为分析的杀软吗? - V2EX Apifox 供应链投毒,中招后是否需要重装系统? - V2EX 昨天 liteLLM 供应链投毒中招的伙计们出来说说都怎么清理的后门 - V2EX Apifox 遭受供应链攻击 - V2EX [记录]-木马 Rondo - V2EX 技术安全:正常网络, P2P/Relay 下双终端安全传输纯文本信息,群聊/多媒体支持并非必须 - V2EX 追踪超算被黑后续 - V2EX 接上一个超算被黑话题,后续情况 - V2EX FOFA 是不是被脱裤了? - V2EX Codex 存在代码执行漏洞,可通过打开恶意文件夹/代码仓库静默触发 - V2EX 某团队公开了一个支付宝的攻击面 请问 V 友们工作上一些项目中敏感信息存哪 广大 V 友注意, IDEA 插件 claude-code-gui 插件会盗刷 token,我已中招,已经举报下架 - V2EX 自建 Emby / MoviePilot 用户安全提醒 - V2EX 使用 AI 中转站会不会泄漏自己的敏感信息?中转站如果给返回一些恶意信息怎么办?有用 AI 中转站的佬来分享下吗? 刚才公司全员被电信诈骗了一次了 想问一下国内关于漏洞挖掘的情报在哪里可以看到最新的啊, TSRC, MSRC 这种的 青龙面板最新版存在未授权 RCE 漏洞,请尽快处置 单纯好奇,如果 AI 用于安全方面,应该能做到很炸裂的效果,但感觉没啥动静 - V2EX 1Password 涨价了,土区如果之前订阅了还能继续原价吗 企业邮箱被盗,群发诈骗网站,怎么教他做人 1password 涨价了。。 orayc.com 一个伪装成向日葵远程的恶意网站 如何保障个人的信息安全? 对 6 位数字 PIN 进行慢哈希是不是形式主义安全? 推荐使用 Pangolin 防护公网暴露的 web 服务 经过飞牛事件,求分享具有一定安全性的 Web / WAF 方案 我也推荐一下自用的安全方式,长随机字符串二级目录,可避免路径穿越 建议给所有需要公网暴露的 web 服务套一层 authelia AI Agent 经常脑补出不存在的包名然后自动安装,感觉供应链攻击风险很大,黑客可以抢注这些包名。为什么没有 AI IDE 能自动在执行前搜索对应包的创建时间、Git star 数、社区评价再安装? 1000 万国产安卓电视设备成为僵尸网络!
[apifox 投毒]都在聊文件细节,就我在关心是如何被投毒的吗?
seedhk · 2026-03-27 · via 信息安全

这是一个创建于 78 天前的主题,其中的信息可能已经有所发展或是发生改变。

如题,客户端预加载的肯定是官方自己的 js 文件。

因此,攻击者要么篡改 apifox 客户端,要么篡改 js 要么劫持 https 。只有这几种方式。

首先,客户端肯定不会被改,我本地的 apifox 版本才 2.7.7 ,看了下更新文档是 25 年 4 月发布的,攻击者应该没这么早下手。 其次就是修改了官方自己的 js ,官方的 js 存放在 cdn 上。这块不是很懂,问了下 ai ,ai 说先是修改的官方在 cdn 上的文件,在官方的 js 文件中添加了加载有问题的 js 文件(也就是 apifox-event.js ),难道有攻击者能在未授权的情况下直接修改 cdn 上的文件吗,还是有内鬼在做这件事?

有没有大佬详细说说

  • 投毒
  • CDN
  • 攻击

    36 条回复    2026-04-02 15:44:23 +08:00

    JoeJoeJoe

    3

    JoeJoeJoe      3 月 27 日

    @ersic

    至于怎么篡改的就不知道了, 可能是 apifox 内部大力推 ai, ai 被投毒了, 进而影响到了这个.

    seedhk

    4

    seedhk      3 月 27 日   ❤️ 1

    @JoeJoeJoe #3 问题就在这里,cdn 上的文件是如何被替换的,如果是 AI 被投毒了,那受影响的应该不止 apifox

    star0329

    5

    star0329      3 月 27 日

    同关心如何被投毒的,官方不做详细解释以后是不会用了

    lujiaxing

    6

    lujiaxing      3 月 27 日

    这个问题有人聊过. 但是谁也说不好.
    目前有几种假说, 一是说某个员工的 AI 工具链 (或者其他软件) 被攻破了. 攻击者利用被攻破的软件上传了投毒的 js 文件. 二是说 ApiFox 他们自己的 CI/CD 工具链被攻破了 (就跟之前 Python 那个组件被攻破投毒一样) 然后有人用 CI/CD 工具投毒.

    stinkytofux

    9

    stinkytofux      3 月 27 日

    这次很多开发者的各种密钥泄露了, 难免会成为下次入侵事件的导火索.

    JoeJoeJoe

    10

    JoeJoeJoe      3 月 27 日

    @seedhk
    @i386

    我觉得可以参考最近另外一个 PyPI 的安全漏洞来看, 因为 apifox 的 ai 调用工具被投毒了, 被黑客筛选成高价值目标, 继而设计了这次的攻击.

    florentino

    12

    florentino      3 月 27 日

    litellm 这个包,只要安装了,就会把本地密钥都泄露啊,你密钥都泄露了,黑客拿你密钥改你 cdn 文件很难吗

    florentino

    14

    florentino      3 月 27 日

    另外,这一波估计很多软件开发商的本地密钥都有可能都被黑客端了,只是黑客还没开始行动攻击罢了

    florentino

    15

    florentino      3 月 27 日   ❤️ 1

    @seedhk #13 我的意思是,他们公司要搞 AI,估计拉取过这个包,黑客很可能就获取到密钥了

    ronyin

    16

    ronyin      3 月 27 日

    @JoeJoeJoe 这 AI 写的把。。。这种投毒一般和内部有关,不管是内部的员工还是他们内部的流程。。别啥都推到供应链

    JoeJoeJoe

    17

    JoeJoeJoe      3 月 27 日

    @ronyin 不是我写的😂 AI 总结个文章我觉得能接受.

    ps: 虽然我觉得 apifox 说供应链攻击可能是为了掩盖他们自己的一些错误, 但是用户敏感信息确实泄露了,如果用了的话还是自查一下比较好.

    ZztGqk

    18

    ZztGqk      3 月 27 日 via iPhone

    问题是它这个本地应用使用 cdn 资源,这明显是为了热更新的偷懒行为

    monkeyWie

    23

    monkeyWie      3 月 27 日

    应该是类似 npm 供应链投毒,npm 里面的黑魔法太多了,你安装一个包的时候就可以在本地运行脚本,这种一看就是 apifox 被针对投毒的情况

    iomect

    24

    iomect      3 月 27 日   ❤️ 9

    主要是公司态度有问题
    跟之前飞牛一样 不第一时间群发短信/邮件/推送 告知风险
    而只是偷偷摸摸发了个微信公众号文章
    相信到目前为止还有一些公司压根不知道已经发生泄露了
    昨天把所有的密码 密钥之类的全都轮换了一遍 这软件直接卸载了

    Bantes

    26

    Bantes      3 月 27 日

    中招了,查了下本地有`_rl_mc`和`_rl_headers`记录。

    1343EFF

    27

    1343EFF      3 月 27 日

    说明客户端最好都用离线资源,别引入远程 cdn ,网络不稳定是一个问题,被劫持又是一个问题

    Romic

    28

    Romic      3 月 27 日

    好恶心,现在供应链攻击

    dimwoodxi27

    30

    dimwoodxi27      3 月 27 日

    实在想不到除了内部人员,外人能用什么方式能直接进入阿里修改 OSS 里面的内容,光阿里企业登录一般都需要手机验证码,当然了内部人员泄露 OSS 上传凭证也不是不可以,一般上传凭证不会过期也就文件 sign 会变。

    datoujiejie221

    31

    datoujiejie221      3 月 27 日 via iPhone

    想到很多年前 xcode 投毒事件,当时因为 Xcode 被植入后门,导致打出来的 ipa 也带了后门,这次估计也是 apifox 打包人员的工具被投毒了。

    cj323

    32

    cj323      3 月 27 日

    我也一直觉得和供应链攻击没关系。我理解的供应链攻击是一个上游依赖里用一个统一的域名广泛投毒。而这个是针对性的给 apifox 投有针对性的混淆域名。这分明是单一攻击;供应链攻击的说法是没有说服力的。

    但我不明白的是,如果攻击者有改编译代码结果,甚至改 cdn 文件的能力,为什么非要废这么大劲远端投毒还留下这么多线索?为什么不直接把有毒的脚本编译进本地安装包给用户下呢?

    suijishu

    33

    suijishu      3 月 28 日

    @cj323 #32 我也认同这次就不是供应链攻击。那个被修改的 js 本来是用来统计客客户端的使用情况,类似于网页里使用百度统计 js ,这种方式很多都是这么用的,这个 js 文件被托管在阿里云 oss 上的,能修改这个有几种方式,1:直接登录阿里云网页更新添加,2 通过阿里云生成的认证 token ,3:内部使用的 ci/cd 自动化工具。无论哪一种,都证明他们公司这条线路已经出现了被入侵了,登录凭证被脱偷了。

    ZztGqk

    34

    ZztGqk      3 月 29 日 via iPhone   ❤️ 1

    @seedhk 不,它是个 electron 打包的 web 应用,就不该依赖外部 js 资源

    q534

    35

    q534      4 月 2 日

    @cj323 攻击者的脚本里面留了自己的私钥,甚至还有 ai 留下的说明性注释,说明现在水平很普通的攻击者也能做这种攻击了。

    seedhk

    36

    seedhk      4 月 2 日

    @cj323 有一种可能性是,可能他只有修改 cdn 文件的能力,比如运维在 ai 的帮助下。