Apifox サプライチェーン投毒攻撃検出ツール

Security
Apifox サプライチェーン投毒攻撃検出ツール

Apifox サプライチェーン投毒攻撃検出ツール

Apifox の CDN リソースが 2026年3月にサプライチェーン投毒を受けた事象に対応する検出・調査・緊急対応用ツール群を収めたリポジトリ。Electron ベースのデスクトップ版が影響を受け、改ざんされた JavaScript が Node 環境で実行されることでファイルシステムやネットワーク経由の機密情報流出、遠隔コード実行が可能になっていた点を踏まえ、感染有無の判定スクリプト(Windows/macOS など)と調査手順を提供する。使用言語は主に PowerShell。

https://github.com/Evil0ctal/Apifox-Supply-Chain-Poisoning-Attack

概要

このリポジトリは、2026年3月4日〜3月22日に発生した Apifox の CDN 攻撃(サプライチェーン投毒)を受けて作成された「検出と緊急対応のためのツールセット」です。攻撃では apifox-app-event-tracking.min.js が改ざんされ、正規の 34KB から約 77KB に肥大化して約42KBの難読化された悪意あるコードが追記されました。Apifox のデスクトップ版は Electron ベースであるため、改ざん JavaScript が Node.js 環境で実行されるとファイルシステムやネットワークへ完全にアクセスでき、SSH 鍵や Git 資格情報、シェル履歴、Kubernetes 設定などの機密情報の窃取やリモートコード実行が可能になります。本リポジトリは検出スクリプト(Windows / macOS)や調査手順、IOC(Indicators of Compromise)に基づくチェックを収録しています。

GitHub

リポジトリの統計情報

  • スター数: 10
  • フォーク数: 2
  • ウォッチャー数: 10
  • コミット数: 3
  • ファイル数: 6
  • メインの言語: PowerShell

主な特徴

  • Apifox デスクトップ版の CDN 改ざん(apifox-app-event-tracking.min.js)に特化した検出スクリプトを収録
  • Windows / macOS 向けの検査・緊急対応用スクリプトを別ディレクトリで提供
  • 攻撃の影響範囲・盗聴対象(SSH 鍵、Git 資格情報、シェル履歴、K8s 設定など)を明確化
  • 簡易的な IOC とファイル改ざんの判定ロジックを実装(ファイルサイズ・コンテンツパターンなど)

技術的なポイント

この攻撃の技術的核心は「Electron アプリが CDN 経由で読み込む外部 JavaScript の改ざん」にあります。Electron はレンダラプロセスと同時に Node.js API をデスクトップアプリ内で利用できるため、正規に見える JavaScript に悪意あるコードが埋め込まれると、そのコードはローカルのファイルシステムやネットワークにフルアクセスできます。本リポジトリの検出スクリプトは、以下の観点で設計されています。

  • 改ざんされたファイルの識別: 被害ファイル名(apifox-app-event-tracking.min.js)やファイルサイズの異常(34KB → 77KB への肥大化)、および既知の悪性コードパターンをチェックします。難読化された追加領域の存在や特定の文字列/関数呼び出しの有無をパターンマッチで検出します。
  • ローカルアーティファクトの検索: Electron のキャッシュやアプリケーションディレクトリに保存された JS ファイルをスキャンし、改ざん済みファイルのパスを特定するためのロジックを実装しています。Windows では PowerShell を中心に、macOS ではシェルや plist の調査を補助するスクリプトが用意されています。
  • 初期対応(インシデントレスポンス)手順の自動化: 検出時に該当ファイルの隔離(移動・バックアップ)、ファイルのハッシュ取得、プロセス一覧やネットワーク接続の取得、疑わしい外部通信先の抽出など、調査に必要な証跡収集を自動で実行する設計です。
  • 被害評価の観点: 悪性スクリプトは SSH キーや Git 資格情報、ユーザのシェル履歴、Kubernetes 構成ファイルなどを窃取可能であるため、スクリプトはこれらの存在確認(~/.ssh, ~/.git-credentials, ~/.kube など)や最終更新時刻の取得を支援します。また、侵害が疑われる場合の鍵・トークンのローテーションやパスワード変更、システムの完全再インストールなど推奨対応がREADMEにて示されます。
  • 証拠保全と注意点: 誤検知を防ぐために、まずは検出結果を変更せずログとハッシュを保全する手順を促します。さらに、Electron アプリ自体の更新や公式パッチ適用を最優先とする点を強調しています。

これらの機能は侵害の初期検出とスコープ評価を迅速化することを目的としており、フォレンジックや完全復旧のためには追加の専門的対応が必要です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitignore: file
  • LICENSE: file
  • README.md: file
  • Windows: dir
  • macOS: dir

…他 1 ファイル

まとめ

Apifox の CDN 改ざん事案に対する迅速な検出・初動を支援する実用的なツール集です。

リポジトリ情報:

READMEの抜粋:

Apifox 供应链投毒攻击 — 检测与应急工具集

攻击窗口: 2026-03-04 ~ 2026-03-22 (18天) 影响范围: 所有在此期间启动过 Apifox 桌面版的用户 (Windows / macOS / Linux) 风险等级: 🔴 严重 (Critical)

事件概述

2026年3月4日至22日,API 协作平台 Apifox 的 CDN 资源遭到供应链投毒攻击。攻击者篡改了 CDN 上的 apifox-app-event-tracking.min.js 文件(从 34KB 膨胀至 77KB),在合法代码后追加了约 42KB 的混淆恶意代码。

由于 Apifox 桌面版基于 Electron,恶意脚本在 Node.js 环境中运行,具备完整的文件系统和网络访问权限,可以窃取 SSH 密钥、Git 凭据、Shell 历史、K8s 配置等敏感信息,并通过远程代码执行机制运行攻击者下发的任意代码。

快速检测:你中招了吗?

悪意スクリプトは Elec…