警惕！新研究揭露API中转站恶意行为：代码注入与凭证窃取

随着互联网服务的快速发展，API中转站（代理服务）在开发与数据传输过程中扮演着不可或缺的角色。然而，一项最新的安全研究揭示了API中转站中存在的一些重大安全隐患。

研究数据：免费的不一定“安全”，付费的也不无风险

研究团队分别从淘宝、闲鱼、虾皮等渠道购买了28个付费API中转站服务，同时在网络上收集了400个免费中转站。经过详尽测试，发现以下问题：

• 1个付费中转站与8个免费中转站存在主动注入恶意代码的情况。这些代码可能包含后门、收集用户数据，或者发起更广泛的攻击行为。
• 有17个中转站未经授权地触碰了研究团队部署的AWS诱饵凭证。这意味着中转站不仅可以访问相关数据，还可能进一步危害实际用户的云服务账户。
• 值得注意的是，部分恶意中转站与数字货币相关，甚至暗中窃取以太坊钱包私钥信息，导致数字资产的潜在安全危机。

恶意行为揭示：API中转站如何窃取信息？

研究进一步分析发现，这些中转站主要通过以下手段实施恶意行为：

1. 主动代码注入：通过在返回数据中插入恶意JavaScript代码，诱导用户浏览器或前端执行这些代码。
2. 窃取授权凭证：中转过程中偷窥或拦截API流量，记录敏感凭据，包括用户账号密码、云服务密钥等信息。
3. 数据包的二次转发：将请求和返回数据转发到第三方服务器，用于大规模数据分析，甚至直接获利。

用户应如何注意API中转站的潜在风险？

基于研究团队的测试结果，用户在选择API中转服务时需要特别小心。以下是一些安全建议：

• 优先选择正规厂商提供的API中转站服务，避免使用来路不明的免费工具。
• 对自身API流量进行监控，通过抓包工具如Fiddler或Wireshark检查是否存在异常流量。
• 尽量使用HTTPS加密连接，避免通过明文传输API密钥等敏感信息。
• 按照最小权限原则（Least Privilege Principle）配置服务，不要将无关权限暴露给API。
• 对数字钱包、云服务密钥等敏感资产，定期进行密钥更新或密钥轮转操作。

总结

这项研究给所有开发者和企业敲响了警钟：不要盲目信任任何API中转站，即便是付费服务。这些中转站可能存在未公开的风险，影响范围从信息泄露到数字资产安全。选择服务时务必考虑安全性并不断加强自我保护机制。