近期有使用的快排查下吧
官方通告链接: https://mp.weixin.qq.com/s/GpACQdnhVNsMn51cm4hZig
近期我们排查发现,Apifox 公网 SaaS 版桌面客户端动态加载的一个外部 JavaScript 文件遭遇了恶意篡改(遭受供应链攻击)。
如果您在 [ 2026 年 3 月 4 日] 至 [ 2026 年 3 月 22 日] 期间使用了公网 SaaS 版 Apifox 桌面客户端,可能存在敏感信息泄露风险。Apifox 私有化版不受此次事件影响。
攻击者使用的 C2 恶意域名( apifox[.]it.com )当时托管在 Cloudflare ,存活 18 天( 2026 年 3 月 4 日 至 2026 年 3 月 22 日)。目前该域名已无法访问,没有持续发生恶意行为,我们当前无法复现现场。但是根据部分用户反馈和专业人员分析,被篡改的恶意脚本具有概率性触发的特征,触发时可能会读取用户本地设备上的高敏感文件(如 ~/.ssh/ 、~/.zsh_history 、~/.bash_history 、~/.git-credentials 等)。可能会上报到该恶意域名( apifox[.]it.com )。我们正在联合安全团队持续进行深度溯源。
 |
101
zb1141920796 6 小时 59 分钟前
@fstab 这个我也用了,我还是永久付费用户,但是这个主要用来干测试的吧。。。
|
 |
102
seedhk 6 小时 59 分钟前
我有两个问题,有没有大佬能解答:
1.客户端里加载的 js ,为什么会被替换,cdn 那里出了问题? 2.我用的 mac15 ,有影响吗 |
 |
103
leegradyllljjjj 6 小时 41 分钟前  2
开除一定要要快!
有人截图了 |
 |
104
coconutwater 6 小时 36 分钟前 1
@miku999 #29 不会就是这篇文章里的小张吧,https://blog.csdn.net/weixin_72565295/article/details/125847715
|
 |
105
Ketteiron 6 小时 33 分钟前 2
@eviladan0s #98 供应链攻击是一个极其容易被滥用的词,特别是厂商需要甩锅时。
https://www.cloudflare.com/zh-cn/learning/security/what-is-a-supply-chain-attack/ 实际上它指的是第三方依赖项作为被信任的一环却包含了恶意代码,而上层软件间接成为攻击的一环。 正常的供应链攻击是这样: 黑客->依赖项->第三方软件->用户 此次攻击是这样: 黑客->第三方软件(apifox 服务端)->用户 这不是供应链攻击,单纯的就是 apifox 服务的某一环例如 CI/CD 被攻破了 作为被攻破的一环,还敢称"遭受供应链攻击",除非是 apifox 使用了其他的第三方软件存在问题,该软件恶意篡改了静态资源文件导致了事故,那他们必须说明是哪一环节出了问题,这才是正经的安全通告。 |
 |
106
beloved70020 6 小时 26 分钟前
已卸载
|
 |
107
lguan 6 小时 11 分钟前
apifox 我有段时间不用了,之前也是项目被逼的用,他们那个 app 做的并不好,而且很占只用,一看到这个新闻,第一反应就是卸载了,没啥好说的
|
 |
108
capric 6 小时 4 分钟前
@hahawode
POST https://your-api.com/upload HTTP/1.1 Content-Type: multipart/form-data; boundary=boundary --boundary Content-Disposition: form-data; name="file"; filename="example.txt" < ./path/to/your/file.txt --boundary-- |
 |
109
zed1018 5 小时 34 分钟前
中午觉也没睡成,ssh github gitlab k8s token 全部轮了一遍。IOC 标识和 DNS 解析记录都表明我中奖了。
|
 |
110
maxwellz 5 小时 0 分钟前
已中招,还在评估风险中
|
 |
111
nicoljiang PRO @YIsion 你低估了,electron 用了 nodejs 相当于提权了。
|
 |
112
horou 4 小时 55 分钟前
从 dns 记录下线到新版本更新这个时间线来看,我感觉大概率是内鬼
|
 |
113
weilongs 4 小时 50 分钟前
登记一下 我也中了.
|
 |
114
lavvrence 4 小时 49 分钟前
这工具我第一天听说的时候就感觉不太靠谱。
|
 |
115
Jiajin 4 小时 42 分钟前
用的 rapidapi.app ,以前的 paw ,应该不会有类似的问题吧
|
 |
116
lujiaosama 4 小时 36 分钟前
@seedhk 装了火绒没用啊, 一样会中招.
|
 |
117
huddle2689 4 小时 23 分钟前
中招了...
太吓人了,我的 .ssh/config 记录了几乎所有服务器地址,ssh 密钥没设置 passphrase 。吸取教训花了半天功夫重装了电脑,把服务器和密钥全部重设完了 |
 |
118
yuchen198 4 小时 17 分钟前
|
 |
119
louistsangjk 4 小时 16 分钟前
…公司好多人中招了,主要是出了问题偷偷修复,不紧急告诉所有用户去处理
|
 |
120
afkool 4 小时 15 分钟前
 这不是扯淡嘛。。 |
 |
121
momo31 4 小时 5 分钟前
真该死,中招了
 |
 |
122
guguji5 3 小时 49 分钟前
@HuskyYellow #73 感谢啊,,原来是这样,我得换换密码
|
 |
123
tutusolo 3 小时 14 分钟前
@YIsion
1. ❌ 没有沙箱模式 (No Sandbox) Apifox 没有使用 macOS App Sandbox ,意味着它可以访问整个文件系统 2. ⚠️ Electron + Node.js Apifox 是 Electron 应用,内置 Node.js 环境,可以直接执行系统命令: require('child_process').exec('cat ~/.ssh/id_rsa') 3. 网络权限 NSAllowsArbitraryLoads=true 允许连接任意域名,包括恶意域名 apifox.it.com --- 结论 是的,Apifox 可以读取您的主目录。 由于没有沙箱限制,被植入的恶意代码可以: 1. 读取 ~/.ssh/ 中的 SSH 密钥 2. 读取 Git 配置和凭证 3. 读取命令历史 4. 执行任意系统命令 建议立即行动: 1. 删除 SSH 密钥并重新生成 2. 更改 Git 远程仓库密码 3. 清除 localStorage 和 Session Storage 4. 等待官方修复版本 这是 ai 排查的结果 |
 |
124
ch3nOr 2 小时 45 分钟前
localStorage.getItem('_rl_mc')
'453bc53c71b0d9f18896690aee9128529ec2261d5c515d0b7dedf4fca90d88ed' 中招了呀,太变态了吧 |
 |
125
tonariiii 2 小时 37 分钟前
有没有人分析出来到底留没留其他后门?
|
 |
127
flyqie 1 小时 19 分钟前 via Android
|
 |
129
JarvanIV 1 小时 3 分钟前
md 中招了,早上一来公司安全同事就发消息了,然后今天重装系统装软件配环境搞了一天
|
Select Language