Tus tokens ya no son tuyos: malas noticias para quienes confiaron en la infraestructura del desarrollador.
Cómo los hackers «ayudaron» a los desarrolladores de Apifox con la analítica
Un ataque a través de una fuente de confianza es un escenario que muchos todavía subestiman. Un nuevo incidente con una herramienta popular para trabajar con API muestra lo peligroso que puede ser un recurso externo comprometido, incluso si se trata de la infraestructura oficial del desarrollador.
El equipo de SlowMist detectó un ataque a la cadena de suministro que afectó al cliente de escritorio Apifox. Los atacantes inyectaron código malicioso en un archivo JavaScript alojado en el CDN oficial del servicio. El archivo se hacía pasar por un script de análisis habitual, por lo que no despertó sospechas y se cargaba automáticamente en el cliente al iniciarlo.
El código malicioso se ejecutaba dentro de la aplicación, construida sobre Electron, y no requería ninguna acción por parte del usuario. Tras su ejecución, el script recopilaba credenciales, tokens de acceso e información del sistema, y luego los enviaba al servidor de control de los atacantes. A continuación, el cliente recibía comandos adicionales y podía ejecutar código arbitrario, lo que en la práctica otorgaba a los atacantes control remoto total sobre el sistema.
El análisis mostró que los atacantes no reemplazaron por completo el archivo original, sino que lo complementaron cuidadosamente con la parte maliciosa. Este enfoque permitió conservar la funcionalidad legítima y evadir los mecanismos de verificación. El código fue ofuscado a fondo: las cadenas se cifraron usando RC4, los parámetros clave se calculaban mediante expresiones complejas, y el tráfico de red se protegía adicionalmente con RSA. Dentro del script funcionaba un temporizador que se conectaba periódicamente con el servidor de mando y descargaba nuevos comandos.
El punto de entrada fue la suplantación del recurso en el CDN de Apifox. La comparación entre la versión original y la modificada confirmó la presencia del código inyectado. Las copias archivadas también registraron el momento del compromiso.
Los especialistas recomiendan a los usuarios revocar inmediatamente todos los tokens emitidos anteriormente, cambiar la contraseña y revisar el historial de accesos. Además, aconsejan limpiar los datos locales del cliente y bloquear los dominios sospechosos a nivel de red.
El caso de Apifox vuelve a mostrar la vulnerabilidad de un ecosistema dependiente de recursos externos. Incluso los CDN oficiales pueden convertirse en un punto de ataque si los atacantes logran interferir en el proceso de entrega de código.