Apifox 桌面端被曝遭供应链投毒,恶意脚本可窃取 SSH 密钥与 Git 凭证

3/25/2026安全开发工具Apifox供应链攻击

Apifox 桌面端被曝遭遇一次供应链投毒。按公开还原分析,问题不在用户自己导入了什么接口文档,而在桌面端加载的一段 CDN 事件统计脚本被篡改;一旦代码在 Electron 环境里跑起来,拿到的就是开发机上的敏感信息。

研究者 phith0n 公开的恶意载荷还原代码显示,这段脚本会先收集设备指纹、系统信息、用户名、主机名,并尝试读取 Apifox 本地登录态,再调用官方用户接口获取账户邮箱和昵称。更危险的是,它还会向远端域名请求加密载荷,解密后直接执行,给后续继续下发恶意代码留了口子。

Apifox 供应链攻击配图

从风险等级看,这已经不是普通的数据上报异常。被公开讨论最多的敏感项包括 SSH 密钥、Git 凭证、Shell 历史记录、进程列表等;如果这些内容被持续带走,受影响的不只是 Apifox 本身,还可能扩展到代码仓库、服务器登录和内网横向移动。按公开回溯,这轮攻击活动至少从 3 月 4 日开始,Windows、macOS、Linux 三个平台用户都可能在影响范围内。

对正在使用 Apifox 的开发者来说,最现实的动作不是等公告,而是先做本地排查。公开建议里,Windows 用户可以重点检查 %APPDATA%\apifox\Network\Network Persistent State,Scoop 安装则看 $scoop_root\apps\apifox\current\UserData\Network\Network Persistent State;macOS 用户可查看 ~/Library/Application Support/Apifox/Local Storage/leveldb。排查时可搜索 apifox.it.com,也可在 LevelDB 里查找 rl_mc / _rl_mcrl_headers / _rl_headers 等键值。

缓解动作也要尽量直接:先封禁 apifox.it.comcdn.openroute.devupgrade.feishu.it.com 等公开讨论里的可疑域名,再重新安装最新版 Apifox,并考虑轮换已经暴露风险较高的 SSH 密钥、Git 凭证和相关登录口令。如果机器上本来就带着研发权限、跳板机权限或生产环境访问能力,这一步最好不要拖。

这次事件最值得记住的一点,是很多桌面工具为了统计、升级或远程配置,会继续从外部拉脚本和资源。只要执行入口还在客户端里,CDN 被篡改就不只是“统计异常”,而是直接变成开发机侧的供应链问题。对开发团队来说,后面更值得补的,是对这类客户端外联、脚本加载和敏感文件访问建立更细的监控与隔离。

来源:

相关推荐