Apifox 自己文件服务被入侵了,为什么说遭供应链攻击?还是理解有问题?
看了几个报道都说源头就是:
https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js
这个文件被黑客篡改了(中间动态加载了 apifox.it.com 的恶意 js )。
cdn.apifox.com 貌似是托管在七牛云 CDN (这个信息可信度较高),用过七牛云 CDN 的应该知道,自托管的对象存储失守了,内鬼的可能性更大呀,怎么就甩锅给“供应链攻击”了呢?似乎也不是七牛云 CDN 的 DNS 解析或边缘服务器泄露,否则 Apifox 肯定是甩锅给七牛云了吧。
如果是引入第三方 js 被人掉包了,才好说是“供应链”失守吧,这明明就是 Apifox 内部被爆了吧,CDN 被爆和数据库被爆,性质大差不差了。
这口锅看得人云里雾里的,还是咱理解有问题?
via V2EX - 技术 (author: jacketma)
看了几个报道都说源头就是:
https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js
这个文件被黑客篡改了(中间动态加载了 apifox.it.com 的恶意 js )。
cdn.apifox.com 貌似是托管在七牛云 CDN (这个信息可信度较高),用过七牛云 CDN 的应该知道,自托管的对象存储失守了,内鬼的可能性更大呀,怎么就甩锅给“供应链攻击”了呢?似乎也不是七牛云 CDN 的 DNS 解析或边缘服务器泄露,否则 Apifox 肯定是甩锅给七牛云了吧。
如果是引入第三方 js 被人掉包了,才好说是“供应链”失守吧,这明明就是 Apifox 内部被爆了吧,CDN 被爆和数据库被爆,性质大差不差了。
这口锅看得人云里雾里的,还是咱理解有问题?
via V2EX - 技术 (author: jacketma)
