攻击者滥用TikTok和Instagram API

2025年5月22日 · 3分钟阅读

这似乎是API安全事件频发的季节。继开发者泄露特斯拉和SpaceX私有LLM的API密钥后，研究人员又发现了一套通过滥用未公开的TikTok和Instagram API验证账户信息的工具集。

这些工具及潜在攻击涉及上传至PyPI的恶意Python包——checker-SaGaF、stein lurks和inner core。这些包可自动化验证被盗邮箱、用户名或密码是否关联有效账户。本文将深入分析该事件细节，并探讨Wallarm如何防护类似API滥用行为。

事件本质：API被转化为侦察工具

每个恶意包均针对官方应用用于账户恢复、登录检查和注册流程的合法但基本未公开的API端点。通过调用这些API端点，工具可在不触发警报的情况下确认给定邮箱、用户名或密码是否绑定有效账户。

例如：

这并非传统意义上的漏洞利用，而是一套利用平台自身API实现自动化、可扩展侦察的工具集。

通过链式调用这些工具中的验证测试，攻击者可构建经过验证的活跃TikTok和Instagram账户列表。凭证验证大幅提升了黑市交易价值，并为后续撞库攻击或钓鱼攻击提供可靠基础。

部分工具通过轮换User-Agent、伪造设备详情和随机化请求来规避速率限制与检测。这意味着凭证不会被纳入"Have I Been Pwned"等暴露凭证追踪平台，显示出超越基础机器人活动的复杂程度。

更重要的是，由于密码重用现象普遍，在Instagram或TikTok等平台测试凭证可帮助攻击者识别哪些凭证可能在其他场景（如邮箱、网银或电商账户）生效。本质上，攻击者将这些合法API转化为侦察工具，用于绘制可开发身份图谱。

这些凭证检查器展示了恶意自动化如何利用合法应用逃避检测。例如steinlurks通过多函数靶向Instagram，循环调用不同端点、轮换会话ID并伪造设备详情以规避检测。

这不仅是API滥用，更是旨在混入真实用户流量、规避传统防御的隐蔽自适应自动化。

由于这些请求类似合法应用请求，传统防御措施如IP封锁、速率限制或静态机器人检测均不足够。企业需要行为检测技术，监控API随时间的使用模式而非仅关注单个请求。虽然这些测试工具可能发送精心构造的合法请求，但无法复现整个会话中的应用行为。

这正是Wallarm的API滥用防护能力发挥作用之处。我们结合机器学习（ML）与统计分析检测滥用迹象，包括：

Wallarm检测器随时间建立应用行为特定方面的基线，进而识别异常会话。多检测器组合可指向特定恶意行为（如账户接管尝试）。当平台检测到可疑活动时，会自动阻断或限制来源，最小化滥用风险。

为防护凭证验证活动等复杂API滥用，安全领导者应采取以下措施：

最终，结合智能设计、实时防护和持续监控，可将API从脆弱目标转化为强化资产。

API设计初衷是开放与可访问，但这种开放性也带来风险。TikTok和Instagram凭证检查器活动表明，攻击者可悄然利用API验证被盗数据而无需触发警报。

这并非传统意义上的数据泄露，而是冷静计算的滥用行为——将有用功能转化为 exploitation 工具。如果未主动监控API使用方式（而不仅是使用频率），就会错过滥用的早期迹象。在当今日益险恶的威胁环境中，早期检测至关重要。

想了解更多Wallarm如何帮助防护不断演进的API滥用？请预约演示。