近期有使用的快排查下吧
官方通告链接: https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig
近期我们排查发现,Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件遭遇了恶意篡改(遭受供应链攻击)。
如果您在 [ 2026 年 3 月 4 日] 至 [ 2026 年 3 月 22 日] 期间使用了公网 SaaS 版 Apifox 桌面客户端,可能存在敏感信息泄露风险。Apifox 私有化版不受此次事件影响。
攻击者使用的 C2 恶意域名( apifox[.]it.com )当时托管在 Cloudflare ,存活 18 天( 2026 年 3 月 4 日 至 2026 年 3 月 22 日)。目前该域名已无法访问,没有持续发生恶意行为,我们当前无法复现现场。但是根据部分用户反馈和专业人员分析,被篡改的恶意脚本具有概率性触发的特征,触发时可能会读取用户本地设备上的高敏感文件(如 ~/.ssh/ 、~/.zsh_history 、~/.bash_history 、~/.git-credentials 等)。可能会上报到该恶意域名( apifox[.]it.com )。我们正在联合安全团队持续进行深度溯源。
 |
1
javalaw2010 20 小时 1 分钟前  2
坏了,这影响大了去了
|
 |
2
nicoljiang PRO 1
特别严重的一个问题,他们在 23 号的时候选择完全不提示用户电脑中数据安全的风险。
|
 |
3
slowgen 19 小时 56 分钟前 via Android 4
乐,建议结合 https://v2ex.com/t/1159283 一起看
|
 |
4
eviladan0s OP |
 |
5
shuangbiaog 19 小时 53 分钟前
有什么替代品吗,纯本地就行,最好不是 electron
|
 |
6
supuwoerc 19 小时 44 分钟前
公司电脑要求重装&密钥全部替换/弃用...
|
 |
7
v1 19 小时 34 分钟前
@shuangbiaog curl 最好用/狗头
|
 |
8
COW 19 小时 14 分钟前
看错了,我还以为 apisix 呢
|
 |
9
OnlineParty 18 小时 44 分钟前 7
apifox 你 吗 x x 我 x x x ,x x 公司
|
 |
10
phithon 18 小时 22 分钟前 5
|
 |
11
aminobody 17 小时 56 分钟前
我好奇是怎么做到投毒到官方域名的 cdn 上的呢?
|
 |
12
artieo 17 小时 47 分钟前
|
 |
13
version 17 小时 43 分钟前 1
Apifox 在目前 ai 能力下.不太看好这个产品...桌面应用本身占用内存大..之前几次崩溃直接本地客户端无法使用
现在我都是 ai 生成 openapi.json 把入参出参 ai 生成全部定义 + scalar 本地部署服务访问.体验拉满 |
 |
15
marsKnight 10 小时 58 分钟前
我是 3 月 3 日给新电脑下载的 哈哈哈哈 我这算逃过一劫吗
|
 |
16
tyrad 10 小时 57 分钟前
很危险 居然出这种问题
|
 |
17
StephenHe 10 小时 57 分钟前 1
还好我用 apipost
|
 |
18
fstab 10 小时 56 分钟前
我也是觉得 postman 优点臃肿,然后换过 apifox 和 apipost ,这两个都需要登录优点麻烦,我又看了下论坛有一个开发者发的 Reqable ,感觉还可以,比较轻量,可千万别出问题啊。不然还得回 postman 。
|
 |
19
songray 10 小时 48 分钟前 3
在 apifox localStorage 文件夹下全部的二进制文件里搜索字符串 rl_mc 或 rl_headers MAC 位置 /Library/Application Support/apifox/Local Storage/leveldb WINDOWS 位置 %APPDATA%\apifox\Local Storage\leveldb\ 如果存在说明曾经被成功攻击过 可以精确判断是否中招
|
 |
20
ipeony 10 小时 46 分钟前
只是测试 API 的推荐下 Yaak, 主要看重支持 git 同步数据
|
 |
22
crysislinux 10 小时 33 分钟前
供应链攻击难防吧,我们也中过一回。。
|
 |
23
Duolingo 10 小时 21 分钟前 via Android
确定中招了,我的 github 里在我睡眠时间多了一堆 security log
|
 |
24
duck2 10 小时 19 分钟前
有新的 cve 号吗?转发下内部群
|
 |
25
capric 10 小时 19 分钟前
@shuangbiaog vscode plugin "REST Client"
|
 |
26
liu731 PRO 草,直接卸载。搞的什么垃圾软件~
|
 |
27
shansing 10 小时 15 分钟前
补充一下 #19 的 Linux 的检测命令和目录:
grep -arlE "rl_mc|rl_headers" ~/.config/apifox/Local\ Storage/leveldb |
 |
28
suyuyu 10 小时 13 分钟前
还好我挺厌烦 electron 的
|
 |
29
miku999 10 小时 10 分钟前 21
那得拿出这张图了
 |
 |
30
m1nm13 10 小时 6 分钟前
@songray 只搜出 rl_headers ,从 https://github.com/settings/security-log 来看没有中招, 起码目前没有
|
 |
31
euronx 10 小时 5 分钟前
我没看懂,为啥会加载一个第三方的 js 文件
|
 |
32
hengshenyu 10 小时 5 分钟前 via Android
目前 windows 版本是不是只有 ssh 相关的泄露?其他密码还好?
|
|
33
eviladan0s OP @duck2 这个不是漏洞,没有 CVE 号,可以直接转官方通告
|
 |
34
liuliuliuliu PRO @Duolingo security log 是在哪里看的?
|
 |
35
sddyzm 10 小时 2 分钟前 via iPhone
修复了吗
|
 |
36
body007 9 小时 51 分钟前
还好我用的 web 版加浏览器插件,没有运行桌面版。浏览器刷新一下就是最新版本了。
|
|
37
Duolingo 9 小时 48 分钟前
@liuliuliuliu 用户设置里有个 security log
|
 |
38
Javin 9 小时 44 分钟前
好久都没用了,逃过了一劫,赶紧卸载,感觉 Ai 时代这种事情越来越多。。。
|
 |
40
yustation 9 小时 42 分钟前
.gemini/.antigravity/.codex 有风险吗
|
 |
41
frantic 9 小时 41 分钟前
"Apifox 公网 SaaS 版桌面客户端" 听起来是给企业版的,但他们家只有桌面客户端和网页端; 所以就是只要你在期间用过 Apifox 客户端的就会中招
|
 |
42
Binwalker 9 小时 40 分钟前
不如用 bruno
|
 |
43
hugozach 9 小时 39 分钟前
去年看 apifox 客户端内存使用就不对劲 我直接使用网页版 不愧是我
|
 |
44
subframe75361 9 小时 39 分钟前 via Android
|
 |
45
northess 9 小时 39 分钟前
@shuangbiaog 纯本地那必须 bruno 啊,纯文件管理,配合 git 做团队共享。只不过是阿三开发的...
|
 |
47
sjdhome 9 小时 36 分钟前
还好我只用 curl 测试 API
|
 |
48
EeveeRibbon 9 小时 30 分钟前
中招了,但是我的 SSH 私钥都用的是密码管理器管理,逃过一劫,真是万幸
|
 |
50
draguo 9 小时 21 分钟前
这种工具确实越来越没用了,都用 ai 开发,这玩意不方便
|
 |
51
chandlerbing9317 9 小时 20 分钟前 1
  已经中招 |
 |
52
ffann 9 小时 20 分钟前
|
 |
54
beiyanpiki 9 小时 17 分钟前
@miku999 出问题了知道痛了
 |
 |
55
fingerxie 9 小时 15 分钟前
我了个去? 我还用的 1password 维护账密、信用卡信息,不会也因此被泄露了吧? 这影响太大了
|
 |
56
ronyin 9 小时 13 分钟前
去年就有人提醒过,这就是个广州的公司。。存在漏洞,使用起来也不方便,还收费。。
|
 |
57
imnpc 9 小时 10 分钟前
@chandlerbing9317 #51 请问下这个是用什么方法检测的
|
 |
58
stinkytofux 9 小时 10 分钟前
@fingerxie 问题不大, 只要你不是用明文文件保存的就没事. 1password bitwarden 这类密码管理器的存储文件都是加密的, 没有主密码解不开.
|
 |
59
MX123 9 小时 9 分钟前
今天刚装上 Hoppscotch ,小龙虾推荐的
|
|
60
EeveeRibbon 9 小时 8 分钟前
@fingerxie #55 密码管理器是读不到的,不会受影响,还好我用了密码管理器,要不然现在换密钥要累死我了
|
|
61
chandlerbing9317 9 小时 8 分钟前 1
@imnpc claude code ,把检测方法截图给他,让他帮我查的,以及这个链接: https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
|
 |
62
YIsion 9 小时 5 分钟前 1
mac 好像默认没有给 用户主目录权限,用 mac 的应该好点
|
 |
63
AllanAG 9 小时 3 分钟前
@shuangbiaog 可以试试这个 https://github.com/mountain-loop/yaak ,Tauri 和 Rust 开发的
|
 |
65
momo1999 9 小时 1 分钟前
不懂,cdn 是怎么投毒的
|
 |
66
deplives 9 小时 0 分钟前 2
这玩意儿还有一个问题是 macOS 下只要打开 app ,这玩意儿会写一个 pmset 的电源管理阻止电脑休眠,不要问我咋发现的,公司电脑只要打开这个 app 就没法休眠一开始排查了各种问题,直到最后才发现只要打开这个 app pmset 就能发现被写入一条禁止息屏和禁止休眠的策略,离谱到家
|
 |
67
cutecore 8 小时 58 分钟前
这个,“公网 SaaS 版“ 桌面客户端 什么意思
|
 |
68
samli12 8 小时 55 分钟前
司马公司
|
 |
69
ZeroDu 8 小时 54 分钟前
windows 上该怎么搜索
|
 |
70
guguji5 8 小时 53 分钟前
用了 4 年了,没看懂这是什么问题
|
|
72
chandlerbing9317 8 小时 42 分钟前
@YIsion #62 怎么确定的,我现在就是 mac 中招,不知道影响哪些内容
|
 |
73
HuskyYellow 8 小时 41 分钟前
@guguji5 加载了一个非官方 CDN 的 js 文件,这个文件能获取本地的密钥,比如 github ,ssh key ,再获取你之前在终端敲的历史命令,然后传出去。基本上就是说,如果你的设备被攻击了,你得换密码了,还好我不用 apifox 就走本地 curl
|
 |
74
dif 8 小时 37 分钟前
两年前就放弃了- -。
|
|
75
YIsion 8 小时 34 分钟前
@chandlerbing9317 #72 如果只是上传 ssh 配置和 bash 命令的话。macos 默认不允许 APP 访问 ~/ 目录。只要没授权泄漏的应该是只有 apiFox 的用户信息,怕得就是 恶意文件直接通过漏洞恶意越权。 如果电脑一直是最新系统,问题应该还好
|
 |
76
twofox 8 小时 31 分钟前
在 leveldb 文件夹下搜索执行 powershell Get-ChildItem -Recurse -File | ForEach-Object { if (Select-String -Path $_.FullName -Pattern "rl_mc|rl_headers" -Quiet) { $_.FullName } }
|
 |
79
HappyAndSmile 8 小时 26 分钟前
幸好我从来没用过,只用 postman ,虽然一般般,胜在习惯了
|
 |
80
w568w 8 小时 21 分钟前
搞笑的是官方发的道歉通告也是一股 AI 生成味:
「(已完成) 」「(极其重要)」 全司上下怕是找不出几个还会手敲文字的了。 |
 |
81
ShinKu 8 小时 19 分钟前
Select-String -Path "$env:USERPROFILE\AppData\Roaming\Apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path
|
 |
82
MegatronKing 8 小时 12 分钟前 via Android
@shuangbiaog 非 electron 的只有 Reqable 了,https://reqable.com/
|
 |
83
qwer1234zh 8 小时 4 分钟前
試試 hoppscotch
|
 |
84
CoderLife 7 小时 37 分钟前
我用: Hoppscotch
|
 |
85
czy0612 7 小时 30 分钟前
Windows 执行
findstr /S /I “apifox.it.com” “%APPDATA%\Apifox*.*” Select-String -Path "$env:APPDATA\apifox\Local Storage\leveldb\*" -Pattern "rl_mc","rl_headers" -List | Select-Object Path MAC 执行 grep "apifox.it.com" "$HOME/Library/Application Support/apifox/Network Persistent State" grep -arlE "rl_mc|rl_headers" "$HOME/Library/Application Support/apifox/Local Storage/leveldb" |
 |
86
lisongeee 7 小时 29 分钟前
|
 |
87
BenX 7 小时 20 分钟前
这货第一天装上就删了,不靠谱。
|
 |
88
deepshe 6 小时 59 分钟前
我查到最后一次使用 apifox 是 2026 年 1 月 14 日,但是也中招了 leveldb 文件夹里能查到 rl_headers ,这个软件是不是会后台启动啊
|
 |
89
a9htdkbv 6 小时 53 分钟前
躲过一劫,前几个月刚好重装系统没装 apifox 。现在我内网 dns 服务器已直接屏蔽*.it.com 这个域名,it.com 这个域名好像很多黑灰产、C2C 都在用来着(
|
 |
91
Height 6 小时 46 分钟前 via iPhone 1
极力 reqable ,flutter 写的,功能全,体积小,性能好,内存占用小,自从用了它,insomnia 就弃用了
|
 |
93
star7th 6 小时 30 分钟前
|
 |
97
Ketteiron 5 小时 56 分钟前 1
|
|
98
eviladan0s OP @Ketteiron 这类投毒攻击一般都归类于供应链安全
|
Select Language